Letzte Woche wurde eine halbwegs interessante Analyse veröffentlicht: 'Windows Vista 6-Month Vulnerability Report' (PDF, Blog-Eintrag). Demnach wurden in Windows Vista in den ersten sechs Monaten nach Veröffentlichung deutlich weniger Schwachstellen gefunden als in den entsprechenden Zeiträumen bei Windows XP, Mac OS X 10.4 'Tiger' und den Linux-Distributionen Red Hat Linux 4, Ubuntu LTS-6.06 und Suse Enterprise Desktop 10. Das ist erst einmal beachtlich und vermutlich ein Hinweis darauf, dass Microsofts 'Security Development Lifecycle' (SDL) sich auszahlt.

Um die doch recht umfangreichen Linux-Distributionen mit Vista vergleichbar zu machen, wurden Server-Dienste, Entwicklungs-Umgebung, Gimp und Open Office entfernt. Einige Kritikpunkte fallen mir ein:

• Mac OS X enthält auch verschiedene Server-Dienste, die aber anscheinend nicht herausgerechnet wurden.
• Windows Vista ist ein neu entwickeltes System, während Mac OS X und die Linux-Distributionen auf vorherigen Versionen aufbauen. Dies führt dazu, dass sie zum einen schon länger bekannte Schwachstellen mit sich herumschleppen, die vor der Veröffentlichung nicht mehr behoben wurden und damit einen Patch erfordern. Außerdem hatten alle, die nach Schachstellen suchen, einen Zeitvorsprung gegenüber dem neu veröffentlichten Windows Vista.
• Selbst die abgespeckten Linux-Installationen enthalten mit Sicherheit einen großen Teil an Programmen, deren Entsprechungen weder die Windows-Versionen noch Mac OS X enthalten. Auch dies wurde anscheinend nicht berücksichtigt.
• Was ist mit den Schwachstellen, die bereits in der Auslieferungsversion enthalten waren, die aber erst nach mehr als sechs Monaten gefunden und gepatcht wurden? Darüber kann man keinerlei Aussagen machen. Eine entsprechende Analyse wäre erst aussagekräftig, wenn alle Schwachstellen zumindest gefunden wurden – und wie sollte man das beweisen?

Trotzdem bleibt festzuhalten: Die Berücksichtigung möglicher Angriffe bei der Softwareentwicklung ist zwar aufwändig, lohnt sich aber allen Anschein nach.

Trau, schau wem
Spamhaus stellt für die Filterung von Spam- und Phishing-E-Mails eine Spamblock-Liste (SBL) mit den IP-Adresse Spam- und Phishing-versendender Mailserver bereit. Auf dieser Liste sind auch die Mailserver der österreichische Domainregistrierungsstelle nic.at gelandet. Nicht etwa, weil nic.at Spam versenden würde. Nein: Spamhaus stört sich daran, dass nic.at sich weigert, mehrere .at-Domains zu löschen, bei denen Subdomains für Phishing-Angriffe verwendet wurden. Nun ist nic.at eine Registry, die nur die reine Domain bereitstellt. Alles weitere, insbesondere die beanstandeten Subdomains, liegt in der Zuständigkeit des jeweiligen Providers. Da weder die Domains selbst für das Phishing verwendet wurden noch nic.at rechtlich befugt ist, über Derartiges zu entscheiden, wurden die Domains nicht gelöscht. Dem kann ich nur aus vollstem Herzen zustimmen: Wo kämen wir hin, wenn irgendjemand ohne jede Berechtigung die Löschung einer Domain verlangt und die Registry dem Folge leistet? Dafür gibt es immer noch den Rechtsweg! Spamhaus sieht das anders und versucht, nic.at mit der Aufnahme deren Mailserver auf die SBL zu erpressen. Ja, spinnen die denn? nic.at hält sich an die Gesetze, Spamhaus eindeutig nicht. Erpressung oder Nötigung ist doch wohl immer noch eine Straftat. Außerdem haben sie sich damit einen Bärendienst erwiesen: Da sie nachweislich Unschuldige auf ihre Listen setzen, kann man nun nur noch dringend von deren Verwendung abraten. Was mal wieder zeigt: Wenn man für die Spam-Filterung Blacklists verwendet, muss man sehr genau darauf achten, wer sie führt und wie er sie führt. Sonst landen schnell harmlose Server auf der Liste und erwünschte Mails im Nirwana. Und da gehört in meinen Augen nun die SBL von Spamhaus hin.

Der Bundestrojaner, mal wieder
Entweder die Bedrohungslage ist seit letzter Woche ernster (meint Herr Dr. Schäuble) oder sie ist es nicht (meint Herr Dr. Beckstein) – egal, Online-Durchsuchungen müssen her – meint Herr Dr. Schäuble. Wozu? Zur Überwachung der Kommunikation: "Die Überwachung der Kommunikation ist lebensnotwendig"! Ups – ich dachte immer, eine Hausdurchsuchung wird gemacht, um Beweise zu finden. Und die Online-Durchsuchung sollte doch eine virtuelle Hausdurchsuchung sein. Jetzt ist plötzlich von 'Überwachung der Kommunikation' die Rede. Also entweder der Herr weiß nicht, was er redet – oder er hat sich verplappert und es geht nicht nur um eine einmalige Durchsuchung (die schon schlimm genug und meines Erachtens keinesfalls mit dem Grundgesetz vereinbar wäre), sondern um eine dauernde Überwachung. Denn Kommunikation ist etwas laufendes, das kann man nicht jetzt, hier, auf einen Schlag kopieren. Dazu muss man über längere Zeit E-Mail, Chats etc. belauschen. Demnach würde sich der Bundestrojaner nicht nur über die gespeicherten Daten hermachen, sondern auch die zukünftige Kommunikation überwachen. Eigentlich ja naheliegend: Wenn man schon die Finger im Rechner hat, warum sollte man nicht noch nach ein bisschen mehr suchen? Ich gönne Frau Merkel ja ihre außenpolitischen Erfolge – aber langsam wird es Zeit, dass sie sich mal um die Innenpolitik kümmert. Ihr Fachminister scheint aus dem Ruder gelaufen zu sein.

Carsten Eilers