Project Aurora

Microsoft lässt sich Zeit

Von Uli Ries

Inzwischen hat der Einbruch bei Google vom Jahresanfang 2010 sogar einen echten Codenamen: „Project Aurora“ wird die Aufsehen erregende Aktion genannt, bei der chinesische Cracker versuchten, in Datenbanken von Google Mail Informationen über Menschenrechtsaktivisten auszuspähen.

Schon kurz nach Bekanntwerden des Einbruchs bestätigte Microsoft, dass als Einfallstor eine bislang nicht geschlossene Lücke im Internet Explorer diente – was dazu führte, dass u.a. das Bundesamt für Sicherheit in der Informationstechnik vor dem Einsatz des Browsers warnte.

Microsoft war gezwungen, prompt zu reagieren und veröffentlichte ein Sicherheitsupdate außer der Reihe. Diese zwischen den monatlichen Patch-Tagen verteilten Updates sind Krisensituationen vorbehalten und entsprechend selten.

Die Lücke war bekannt

Was Microsoft jedoch erst später in einem Blog-Eintrag zugab: Die Redmonder kannten die Details zur Lücke schon seit August 2009, also etliche Monate, bevor Google die ersten Angriffe im Dezember feststellte und damit dann im Januar 2010 an die Öffentlichkeit ging. Haben die Experten bei Microsoft die Warnung eines israelischen Sicherheitsexperten, der die Lücke entdeckte und sich vertraulich an Microsoft wandte, schlicht nicht ernst genug genommen? Oder gab es einen anderen Grund, warum das Update erst Monate später freigegeben wurde – und dann auch nur, weil es die Sicherheitslücke u.a. bis in die 20-Uhr-Ausgabe der Tagesschau geschafft hatte?

Die wahrscheinlichste Erklärung: Man hat die Lücke bei Microsoft ernst genommen, ging aber gleichzeitig davon aus, dass sie nicht missbraucht werden würde, bevor der Patch fertig sei. Denn das Sicherheitsloch wurde ja verantwortungsbewusst an die Redmonder gemeldet („responsible disclosure“) und nicht irgendwo im Internet gepostet. Wobei sich Meron Sellem, der Entdecker der Lücke, in einem Interview nicht überrascht zeigte, dass die Cracker sie ebenfalls fanden.

Microsoft jedenfalls plante das Update ursprünglich für Februar 2010 ein. Das spricht dafür, dass die Lücke ernst und schon seit Längerem intern unter die Lupe genommen wurde. Denn hätte der Konzern erst Anfang Januar vom Sicherheitsloch erfahren, hätte er sicherlich nicht binnen zwei Wochen ein qualitativ halbwegs hochwertiges Update aus dem Boden stampfen können.

120 Tage Testreihen

Dabei ist das Schließen der Lücke zumeist das kleinere Problem. Wird dem bei Microsoft für solche Fälle zuständigen MSRC (Microsoft Security Response Center) ein Sicherheitsloch gemeldet, prüfen die Mitarbeiter den Hinweis auf Stichhaltigkeit. Erweist sich der Tipp als valide, werden sofort die ursprünglichen Programmierer des betroffenen Produkts hinzugezogen. Die kennen ihre Software aus dem Effeff und wissen, wie sie die Lücke zu stopfen haben.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Deutlich zeitaufwändiger und der mutmaßliche Grund für die scheinbar späte Freigabe des Internet-Explorer-Updates ist der komplexe Testprozess, den ein Patch nach dem Erstellen durchlaufen muss. Ein Internet-Explorer-Patch wird auf vielen hundert Millionen PCs installiert. Denn Microsoft will sicherstellen, dass das Update keine neuen Probleme verursacht oder gar Abstürze provoziert. Daher werden die Updates im Zusammenspiel mit einer ellenlangen Liste von Anwendungen anderer Hersteller unter die Lupe genommen. Privatkunden wären sicher nicht erfreut, würde ein Microsoft-Update beliebte Anwendungen wie Firefox oder iTunes lahm legen. Schlichtweg katastrophal wäre es, stellte eine von einem Microsoft-Großkunden selbst entwickelte und für dessen Geschäftsbetrieb essenzielle Software ihren Dienst ein.

Diese Tests dauern meist mehrere Wochen. Der Leiter von Microsofts MSRC, Mike Reavey, gibt zu Protokoll, dass sich simplere Updates binnen einer Woche komplett entwickeln und testen lassen. Bei komplexen Problemen kann sich der Prozess bis zu 120 Tage lang hinziehen – das wären ziemlich genau die rätselhaften vier Monate von der Entdeckung bis zur Bekanntgabe. Damit wäre die wahrscheinlichste Ursache für die Verzögerung im Zusammenhang mit dem Internet-Explorer-Update wohl gefunden.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links