15. Februar 2008
Bruce Schneier hat einen sehr lesenswerten Artikel über die wirtschaftliche Bedeutung von Vendor Lock-Ins geschrieben.
„Wenn 100 Leute im Unternehmen Microsoft Office einsetzen, das pro Benutzer 500 USD kostet, dann wird das Unternehmen auf OpenOffice wechseln, wenn der Wechsel günstiger als 50.000 USD ist. Wenn der Wechsel teurer als 50.000 USD ist, kann Microsoft die Preise erhöhen.“
Der komplette Text findet sich im Blog von Bruce und bei Wired.
Sein Fazit ist, dass mehr und mehr Sicherheitsfunktionen nicht mehr zum Schutz von Daten und Systemen sondern zum Schutz der wirtschaftlichen Abhängigkeit eingesetzt werden. Digitales Restriktionsmanagement (DRM) ist nur der Anfang.
Jetzt ist Microsoft von den letzten guten Geistern verlassen worden, wenn die Meldungen auf diversen News-Portalen stimmen:
Forscher bei Microsoft hoffen, mittels „freundlicher“ Würmer Patches und Updates schneller an die Windows-Nutzer zu verteilen.
Die Antwort auf solche Ideen kann nur lauten: Ja spinnt ihr Idioten bei Microsoft denn jetzt komplett? Klar, auf den ersten Blick erscheint die Idee super … die Würmer erkennen automatisch Sicherheitslücken, dringen in den Rechner ein und schließen dann diese Lücke. Der Rechner ist damit sicher und vor weiteren Wurminfektionen geschützt. Auf den zweiten Blick ist das jedoch eine ganz dumme Idee:
- Wie soll der Wurm erkennen, warum der Rechner die Lücke noch enthält? Vielleicht hat der Administrator bewusst darauf verzichtet, ein Update zu installieren, weil sonst wichtige geschäftskritische Software nicht mehr funktioniert. Das kommt bei Microsoft Updates bekanntlich öfter vor.
- Was ist, wenn das Update ein Reboot erfordert. Bei Rechnern die Produktionsanlagen steuern darf man nicht einfach neu starten. Das kann von einfachen Produktionsausfällen zu richtig teuren Schäden führen, wenn die Verfügbarkeit nicht erhalten bleibt.
- Gerade in Produktionsanlagen darf man Updates nicht einfach so installieren. Oft ist eine Freigabe des Herstellers der Produktionsanlagensteuerung notwendig. Ich kenne beispielsweise einen Hersteller, der schriftlich mit drei Unterschriften wichtiger Direktoren bestätigt hat, dass keinerlei ungenehmigte Updates einzuspielen sind, da ansonsten sämtliche Wartungsverträge nichtig wären.
- Wenn ich solche Änderungen nicht möchte, steht dann lapidar in der EULA, dass Microsoft mir das aufspielen darf? Selbst wenn, spätestens wenn irgendwas dann nicht mehr funktioniert ist das rechtlich garantiert ein Verstoß gegen § 303b StGB (Datensabotage) und würde bei meinen wichtigen Rechnern mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Ich würde mich auch sofort einer Sammelklage in den USA anschließen.
- Von Folgeschäden, wenn Hacker den Wurm kapern oder unerwünschtem zusätzlichen Netzwerkverkehr will ich gar nicht reden.
Kurz und gut, die Idee ist so wahnsinnig dumm, idiotisch, blöd und hirnrissig (mir fallen leider keine weiteren Superlative mehr ein), dass der verantwortliche Manager ausgepeitscht, gevierteilt, erhängt und ersäuft gehört.
Ich frage mich eigentlich nur, wie kommt ein (hoffentlich) vernünftig denkender Wissenschaftler auf so eine schwachsinnige Idee? Sind die Jungs in der Forschungsabteilung soweit in ihrem Elfenbeinturm vergraben, dass sie nicht mehr mitkriegen, was draußen in der Welt so passiert? Oder ist Microsoft inzwischen so arrogant geworden, dass sie am besten wissen was gut für die Kunden ist und notfalls per Wurm zwangsweise Updates (z.B. den Genuine Advantage Notification Spam) aufs Auge drücken wollen? Oder haben sie den Ärger unerwünschter Änderungen nicht mitbekommen?
Ich sehe schon, der Umstieg auf Linux wird langsam unvermeidbar.
(via hier, hier und hier und die Kritiker formieren sich hier).
Nachtrag:
Sehr lesenswert ist in diesem Zusammenhang der Artikel „Are Good Viruses Still a Bad Idea?“ von Vesselin Bontchev, der alle wichtigen Kritikpunkte anschaulich zusammenfasst.
Manchmal kommen Administratoren auf lustige Ideen. Das fällt oft jahrelang nicht auf aber wenn irgendwann mal jemand mit Ahnung sich die Sache ankuckt, dann kann man gelegentlich nur noch den Kopf schütteln.
In einem Unternehmen kann von jedem Rechner aus ohne Proxy direkt im Internet gesurft werden. Auf der Firewall befindet sich ein Virenscanner der die heruntergeladenen Dateien prüft und Schadprogramme herausfiltert. Ein URL-Blocker oder so wird nicht eingesetzt. So weit so gut. (Nein, ich will jetzt keine Diskussion anzetteln, ob ein URL-Blocker notwendig und zweckführend ist.) Allerdings soll nicht jeder Mitarbeiter Internet-Zugang bekommen. Was tun?
Die Lösung, auf die die Administratoren gekommen sind, ist eigentlich extrem clever. Aber nur eigentlich. Per Windows Gruppenrichtlinie erhalten Benutzer einer speziellen Gruppe einen falschen Proxy in den Internet Explorer eingetragen und die Berechtigung entzogen, den Proxy zu ändern. Bei Versuchen ins Internet zu kommen gibt es dann jedesmal einen Timeout, weil der Proxy nicht existiert und daher auch nicht antworten kann.
Leider funktionierte dieses Sicherheitsmodell nur, bis ich meinen USB-Stick mit Firefox Portable herausholte, in den Rechner steckte und mittels Alternativbrowser gemütlich im Internet surfen konnte. (Alternativ kann man auch den PrivacyDongle von Foebud kaufen).
Jetzt wird über die Anschaffung eines ISA-Servers nachgedacht.