Viren können sich nur auf unsicheren Betriebssystemen selbständig verbreiten. Heute trifft das ausschließlich auf Windows zu, wobei Netscape die Probleme mit JavaScript in Mail und News theoretisch auch nach Unix gebracht hat.

Bei Netscape muß man explizit abschalten, daß Javascript und Mail und News aktiv sein soll, was genau so schlecht ist wie der Windows Scripting Host. Daher installiere ich niemals andere Versionen als "navigator only", denn schon im Web ist Javascript gefährlich.

Der Schaden

Nachdem mal wieder ein Virus die üblichen Verdächtigen heruntergefahren hat (Microsoft, die NATO, das EU-Parlament und diverse Landesregierungen und Verlage in Deutschland) ist das Geschrei immer groß. Sofort finden sich in den Medien diverse Experten, die den Schaden auf mehrere Millionen oder gar Milliarden schätzen (natürlich ist diese Zahl frei erfunden und entbehrt jeder Grundlage, sie wird auch nicht weiter hergeleitet oder begründet).

Aber richtet denn so ein Virus überhaupt Schaden an? Geht auch nur ein einzelner Rechner kaputt? Nein. Sinken dadurch Aktienkurse? Im Gegenteil! Aktien von Security-Firmen treiben jedesmal die Aktienmärkte um mehrere Prozentpunkte nach oben.

Der Schuldige

Microsoft hat es geschafft, das Bewußtsein der Massen so zu manipulieren, daß Viren heute als etwas dastehen, das nicht verhinderbar ist, das eben ab und zu kommt und Daten kaputt macht. Folgerichtig liegt die Schuld natürlich in den Augen der Bevölkerung bei dem Autoren des Virus, nicht bei Microsoft.

In Wahrheit ist aber Microsoft schuld, nicht der Virenautor. Um sich dessen bewußt zu werden hilft ein kleines Gedankenexperiment. Nehmen wir an, die Bundesregierung baut einen Todesstern im Weltraum, der die Erde pulverisieren kann. Nehmen wir weiter an, daß die Bodenstation dazu direkt auf einem frei zugänglichen Autobahnparkplatz steht und draußen ein großer roter Knopf ist, der mit "Selbstzerstörung" beschriftet ist.

Nehmen wir weiter an, daß ein Auto mit einer Familie auf dem Parkplatz parkt und ein Kind herumturnt und den Knopf sieht. Kinder drücken gerne auf Knöpfe. Nehmen wir an, das Kind drückt auf den Knopf und der Todesstern explodiert und stürzt auf Nordamerika, wobei Kanada und die USA im Meer versinken.

In diesem Fall ist doch nicht das Kind schuldig, sondern der Idiot, der den Knopf da frei zugänglich angebracht hat! Und bezogen auf die Virenproblematik ist Microsoft schuld. Mein Vorschlag ist es daher, Microsoft für die gesammelten Milliardenschäden haftbar zu machen, die durch ihre Software auf der Welt entstanden sind, und das betrifft wie oben gesagt nicht nur die Viren.

Nochmal zum Schaden

In einzelnen Institutionen fällt gewöhnlich für ein paar Tage die Arbeit aus. In diesem Fall kann man natürlich von einem Schaden sprechen. Nur - wem entsteht dieser Schaden? Leuten, die Windows einsetzen. Wer einen Blick in die Tagespresse wirft, stellt schnell fest, daß alle paar Tage in allen möglichen PC-Publikationen von Unsicherheiten und Unstabilitäten von Windows die Rede ist. Jeder weiß das. Wenn jemand einen PC mit Windows kauft, obwohl er das weiß, dann ist das grob fahrlässig.

Ich betrachte diese Situation gerne unter dem Gesichtspunkt der natürlichen Auslese. Wer schlechte Software einsetzt, der überlebt eben nicht im Geschäftsleben. Normalerweise finde ich das, wenn es dann geschieht, nicht erwähnenswert, aber das laute Geschrei nach der Strafverfolgung des "Täters" (d.h. des Autors) ist absolut nicht angebracht, und dagegen richtet sich dieser Artikel auch hauptsächlich. Wenn wir uns überhaupt darauf einigen, jemanden haftbar zu machen, dann sollte es Microsoft sein, nicht irgendein 15jähriger Junge aus einem Schwellenland.

Wie kann das sein?

Die Hauptfrage an der ganzen Angelegenheit ist für mich: Wie kann es sein, daß unsere Infrastruktur überhaupt funktioniert, wenn doch offensichtlich fast nur Luschen am Werk sind? Beispiele für extreme Kompetenz am Arbeitsplatz:

• FEMA, die "Federal Emergency Management Agency" der USA. Diese Experten haben an der Firewall die Email-Größe auf 10k limitiert, weil sie gehört hatten, daß ILOVEYOU 15k groß ist. Äh, hallo? Was ist, wenn jemand für die Beschreibung seines Notfalls mehr als 10k brauche? Z.B. weil er auch ein Idiot ist und das ganze als Word-Attachment schickt?
• Symantec hat laut diesem Update Usern empfohlen, keine Mails zu öffnen, die "ILOVEYOU" im Subject haben. Und wieder wird es so dargestellt, als ob diese Email das Problem wäre. Einige Administratoren haben daraufhin in ihren Firewalls Mails mit Subject "ILOVEYOU" gefiltert und daher keine Mails von Security-Listen mehr bekommen, die Neuigkeiten zum Virus verbreiteten.
• Das US Defense Department gab an, daß mindestens vier geheime Militärsysteme befallen wurden. Hallo? Geheime Militärsysteme? Unter Windows? Per Email aus dem Internet erreichbar?!

Realsatire: Was Microsoft sagt

Laut diesem Bericht sagte Microsoft, daß es sich nicht um einen Fehler, sondern um ein Feature handelt. Schließlich könne man ja das ja alles irgendwo abschalten. Ein Programm-Manager von Microsofts Security Response Team sagte außerdem, Scripting sei nicht das Problem, weil der Virus ja genau so gut als EXE hätte kommen können. Das muß man sich mal auf der Zunge zergehen lassen! EXE-Viren sind natürlich auch ein Windows-Problem!

Aber der größte Hammer, den Microsoft je vom Stapel gelassen hat, ist in diesem Interview mit Bill Gates dokumentiert, wo er tatsächlich behauptet, daß eine Zerschlagung Microsofts in mehrere unabhängige Firmen es in Zukunft schwieriger machen würde, Viren zu bekämpfen. Als ob Microsoft jemals bei auch nur einem einzigen Virus eine Mitschuld oder auch nur unsichere Grundeinstellungen eingeräumt hätte! Tatsächlich steht Microsoft Security-Dienstleistungen eher im Weg als ihnen zu helfen. Natürlich sagen Antivirus-Produzenten selten schlechtes über Microsofts "Sicherheit", weil sie sich ja dann den Ast absägen würden, auf dem sie sitzen.

Wen hat es denn so alles erwischt?

Man sollte annehmen, daß nur kleine und mittelständische Unternehmen betroffen sind, weil die kein Geld für Sicherheit übrig haben. Man würde vermuten, daß Institutionen, bei denen Security einen wichtigen Teil der Arbeit ausmacht, überhaupt kein Problem mit diesem Virus gehabt haben. Dieser Artikel listet ein paar US-Institutionen, die betroffen waren. Am ironischsten fand ich aber den Bericht, daß die US Präsidentschaftskandidaten Al Gore und George Bush Jr von dem Virus runtergefahren worden sein sollen, welche sich ja beide Internet-Kompetenz auf die Fahnen geschrieben haben, und besonders Al Gore war dadurch aufgefallen, daß er einmal behauptet hatte, das Internet erfunden zu haben.

Hier ist noch ein schockierter Bericht darüber, daß der Virus praktisch alle US-Regierungsstellen "geschädigt" hat. Und, achtet mal darauf, wieder analysiert der Technologie-Experte als Problem heraus, daß die Leute Email-Attachments von Unbekannten geöffnet hätten. Das ist doch genau die Idee bei Email, daß man mit Leuten kommunizieren und Dateien austauschen kann! Das eigentlich Problem ist, daß bei Windows überhaupt Datenverlust entstehen kann, wenn man Attachments öffnet. Email-Programme, die es erlauben, Scripts oder andere Programme in Emails überhaupt auszuführen, sind das Problem.

Ist das ein isolierter Ausrutscher bei Microsoft?

Nein. Nur ein paar Tage nach ILOVEYOU kam ein neues Sicherheitsproblem im Internet Explorer heraus, bei dem der Browser Programme auf dem Rechner des Users ausführt. Diesen Programmen traut IE, weil sie schon auf dem Rechner sind und nicht aus dem Internet geholt werden. Die Demonstration des Fehlers führte ein Script aus, das bei der Installation von Netscape installiert wird. Laut diesem Bericht hat sich Microsoft tatsächlich getraut, das Problem Netscape in die Schuhe schieben zu wollen.

Abschließende Worte

As you clean up your registry and replace your damaged files, just keep a few things in mind:

1. Microsoft just wants to be free to innovate and to bring great software to consumers.
2. We wouldn't have great software like Windows and Office if Microsoft hadn't violated anti-trust laws.