Damit Sie Lösungen nicht suchen, sondern finden ! Damit Sie Lösungen nicht suchen, sondern finden !


 

Spionage im PC:
Es wird Zeit für Linux

Kommentar, 16.03.1999


Weitere Kommentare, Reden, Interviews

Das hätte sich George Orwell nicht einmal träumen lassen: Während die auslesbare Seriennummer bei Intels neuem Pentium III noch unlängst für grossen Wirbel sorgte, spioniert Microsofts Windows 98 schon heute ganz ungeniert im PC. Der jüngste Spross der Betriebssystemfamilie redet nämlich per Internet mit der Mutterfirma und übermittelt den sogenannten "Global Unique Identifier" (GUID), eine Art elektronischen Fingerabdruck des PC. Das gilt selbst dann, wenn der Benutzer diese Übermittlungsfunktion ausgeschaltet hat, weil er der Übertragung aus gutem Grund nicht zustimmt.

Es geht weniger darum, ob hier und heute mit jener GUID unmittelbarer Schaden angerichtet werden kann, sondern um die Tatsache, dass überhaupt Daten ohne Wissen und Billigung des Anwenders von dessen PC an Dritte übertragen werden, während sich der Anwender vor derlei Unbill sicher wähnt. Ein Hacker, der letzlich nichts anderes tut, würde sich hierfür wohl vor dem Kadi verantworten müssen, denn darauf, ob er Schaden anrichtet, kommt es laut Rechtsprechung nicht an. Moderne Zeiten: Bei Windows 98 sitzt der Hacker gleich im Betriebssystem, und George Orwell wäre für diese Idee recht dankbar gewesen.

Entdeckt hat das Ganze, wen wundert's, natürlich nicht Microsoft, sondern Phar Lap Software Inc., eine unabhängige Softwarefirma. Während Microsoft Manager Robert Bennet sich zunächst im Abwiegeln übte, gibt Yusuf Mehdi, Microsoft Director of Windows Marketing, in einem offenen Brief auf einer Microsoft-Webseite den "Fehler" des Betriebssystems zu.

Ob Vorsatz, oder leider, leider nur ein dummer Fehler: Wie es um die Glaubwürdigkeit von Microsoft-Statements bestellt ist, hat der Antitrust-Prozess in den letzten Monaten mehr als einmal gezeigt. Selbst manipulierte Beweise waren mit von der Partie, wie das Unternehmen kleinlaut zugeben musste. Vor diesem Hintergrund klingt auch die Microsoft-Zusicherung kaum beruhigend, das Unternehmen werde die bereits erbeuteten Anwenderdaten aus den hauseigenen Datenbanken löschen.

Wiederholungsgefahr? Mit Sicherheit, denn es ist schlichtweg ungeheuer attraktiv, den Bezug zwischen der realen Person des Surfers und dessen elektronischem Fingerabdruck (GUID) herzustellen, den er beim Bummel durch's Internet auf verschiedenen Web Sites hinterlässt. Auch wenn das heute noch kein Browser tut, bis zum Hinterlassen eines kleinen, scheinbar anonymen, unschuldigen Nümmerlis auf jedem besuchten Web-Server ist es nur ein winziger Schritt.

Der Browser könnte die Windows 98-GUID beim besuchten Web-Server als Teil des Browser-Strings hinterlassen. Die Übermittlung des reinen Namens (ohne GUID) passiert längst und ist nicht zu beanstanden, da sie nur den Typ und die Version des benutzten Browsers verrät. Die eher unscheinbare Anreicherung dieser Hinterlassenschaft um die weltweit eindeutige GUID des Windows-PC würde E-Commerce-Betreiber in wahre Freudentaumel versetzen: Könnten sie doch nun endlich jeden Besuch, der vom gleichen PC aus erfolgt, als solchen erkennen, und zwar durch einfache Auswertung der Server-Logdateien, denn neue Technik ist hierzu auf Serverseite nicht nötig. Die Information in puncto Zuordnung zwischen der GUID und der zugehörigen Person schliesslich liesse sich dann womöglich gegen Bares bei Microsoft erwerben, á la Adressverlag etwa.

Derlei Vorgehensweise überträfe sogar das "Miles & More"-Programm der Lufthansa, die Vielflieger-Daten ungeniert an "Star Alliance"-Partner weitergibt, sofern der Karteninhaber nicht ausdrücklich widerspricht. Dieser "Datenabgleich", so der Lufthansa-Jargon, wäre geradezu unbedeutend gegenüber dem Schlüssel, den Microsoft mit dem GUID-Verfahren in Händen hielte. "Miles & Junk Mail", wie jüngst ein Unternehmensberater frozzelte, würde dann gehörig Konkurrenz bekommen.

Was hier zum Alptraum jedes Sicherheitsverantwortlichen gerät, ist letztlich nur die Spitze des Eisbergs: Grundsätzlich ist jede proprietäre Software á la Windows ein beträchtliches Sicherheitsrisiko, wenn der Kunde keine Einsicht in den Quellcode hat, und obendrein - im Gegensatz zu Linux etwa - auch brauchbare Tracing-Mechanismen fehlen. Denn unter'm Strich kann man derlei Software nicht einmal dann so recht auf die Finger sehen, wenn dringende Verdachtsmomente bereits vorliegen. - Es wird Zeit für Linux.


Eitel Dignatz ist Unternehmensberater und Inhaber des Münchner Unternehmens Dignatz Consulting.

zum Seitenanfang   Seitenanfang
vorherige Seite   zurück