30. Oktober 2000
Nachdem herauskam, dass mindestens einem Angreifer mindestens
12 Tage mindestens ein Teil des Microsoft-Intranets inklusive
mindestens einiger Quelltexte offen stand, versucht die Firma den
Rest der Welt zu 
beruhigen: "Es gibt keinen Beweis, dass
der Eindringling Zugriff auf die Quelltexte von Office oder Windows
hatte." Offensichtlich heißt das aber auch, es gibt keinen
Beweis, dass der Eindringling keinen solchen Zugriff hatte.
Microsoft ist lediglich "aufgrund aller Anhaltspunkte weiterhin
zuversichtlich, dass kein Code modifiziert oder verfälscht
wurde." Zuversicht ist allerdings nur ein schwaches Fundament
für Sicherheit...
Microsofts Unsicherheit, wie weit der Angreifer vordringen konnte, wirft die Frage auf, wie es insgesamt mit der Sicherheit der Quelltexte großer Applikationen oder Betriebssysteme aussieht. Kann ein Unternehmen Softwareprojekte in den Dimensionen beispielsweise eines Office-Pakets oder Webbrowsers inklusive Mail- und Newsreader überhaupt noch effektiv überwachen? Selbst wenn keine externen Angreifer eindringen: Ist angesichts der Vielzahl der beteiligten Programmierer die Chance auf ein "Kuckucksei" nicht enorm hoch?
Microsoft schützt seine Systeme vermutlich nicht schlechter als andere Unternehmen. Angesichts des Negativ-Images von "Big Bill & Co." in Hackerkreisen sollte man sogar besonders starke Sicherungen erwarten können. Zudem darf man wohl auch den Microsoft-Mitarbeitern keine unterdurchschnittliche Vorsicht oder Qualifikation unterstellen. Falls der Angriff also tatsächlich durch einen E-Mail-Wurm gelang, belegt das anschaulich die allgemeine Gefahr, die von solchen weit verbreiteten Schädlingen ausgeht. Und je mehr Mitarbeiter ein Projekt hat, desto höher ist das Risiko, dass einer von ihnen in eine solche Falle tappt...
Kommt man zu dem Schluss, dass die Integrität von Originalsoftware im Auslieferungszustand nur schwer zu garantieren ist, so müsste man dringend unabhängige Überwachungsprogramme implementieren. Beispielsweise kann eine Personal Firewall zumindest die Verbindungen nach außen kontrollieren, die jedes einzelne Programm nutzen möchte - zumindest dann, wenn es dafür die üblichen Wege beschreitet. Sofern eine Hintertür aber bereits im Betriebssystem verankert ist, erscheint es fraglich, ob nachträglich eingebrachte Software hiergegen schützen kann. Langfristig erfordern sichere Systeme möglicherweise schlanke, validierbare Betriebssysteme, die einerseits der Anwendungssoftware enge Schranken setzen und die sich andererseits von unabhängiger Seite kontrollieren lassen. Dabei kann es letztlich nicht nur um die Serversysteme gehen, sofern Entwickler von Internet-vernetzen PCs aus an heiklem Code arbeiten. Mehr Konkurrenz auf dem Sektor der Betriebssysteme auch für Personal Computer wäre sicherlich wünschenswert.