Share via


Die Illusion absoluter Sicherheit

Technorati-Tags: Microsoft

Durch einen meiner letzten Blog-Beiträge habe ich einige Reaktionen ausgelöst, mit denen ich nicht gerechnet hatte. Es ging um seit Januar in verschiedenen Foren diskutierte Methoden, ein bekanntes (und bereits behobenes) Problem in der Beta-Version von Windows 7 zu umgehen und bei ausgeschalteter Benutzerkontensteuerung (User Account Control, UAC) die Windows 7 Gadgets zu benutzen. Ich ignoriere jetzt mal diejenigen, die meinen, ich hätte empfohlen, die Benutzerkontensteuerung abzuschalten – das habe ich definitiv nicht und wiederhole das gerne auch hier nochmals. Statt dessen möchte ich mich auf die Frage konzentrieren, die hier eigentlich zu diskutieren wäre: Wie groß ist der Beitrag, den die Benutzerkontensteuerung zur Sicherheit eines Rechners leistet, und worin genau besteht er.

Die Benutzerkontensteuerung ist eine derjenigen Funktionen, die im Zusammenhang mit Windows Vista am heftigsten kritisiert wurden. Eine weit verbreitete Meinung ist, die häufigen Meldungen nervten nur. Interessanterweise ist sie aber auch eine Funktion, die für Windows XP häufig angemahnt wurde. Das zeigt bereits ein grundlegendes Problem auf, das Nils in seinem Blogbeitrag zur Benutzerkontensteuerung sehr treffend formuliert hat: Sicherheit und Komfort gleichzeitig sind nicht möglich. Zumindest nicht beide in höchstem Maße. Fragen Sie sich nur mal, warum so viele Autofahrer den Gurt nicht anlegen. Fehlgeleitete Rebellion gegen eine übermächtige Obrigkeit mag da bei einigen Jugendlichen vielleicht eine Rolle spielen, bei den meisten geht es jedoch schlicht um den Komfort, der durch den Gurt geringfügig beeinträchtigt wird.

Der ‘beeinträchtigte Komfort’ ergibt sich bei der Benutzerkontensteuerung direkt aus ihrer Wirkungsweise: Sie warnt, sobald Benutzer oder Programme bestimmte Veränderungen an Desktop oder System vornehmen möchten. Diese Meldungen rufen erstaunlich emotionale Reaktionen hervor, fast so, als ob der PC unverschämterweise Ihre Eignung als PC-Benutzer in Frage stellen wollte. Die meisten dieser Änderungen sind gewollt, daher kommt man fast nie in den Genuß einer Warnung vor etwas, das unerwartet oder gar gefährlich ist. Wäre das öfter der Fall, wüßte man die Warnung wahrscheinlich zu schätzen. So nervt sie eben meist nur. Und die Versuchung ist groß, sie einfach abzuschalten.

Das Abschalten der Benutzerkontensteuerung ist nun ebenso leichtsinnig und potentiell fatal wie das Weglassen des Gurtes. Es kommt einem zwangsläufig die berühmte Anti-Streß-Brille des Ephraim Kishon in den Sinn: die wird in einer seiner Satiren einem sehr nervösen Menschen verordnet, der bei allerlei wirklichen oder eingebildeten Gefahren panisch überreagiert. Die Brille funktioniert genial einfach: sie verdunkelt beide Gläser beim geringsten Anzeichen einer Gefahr.  Der Träger der Brille ist somit geheilt – keine Panik-Attacken mehr!

Eine ganzheitlichere Betrachtung der Aspekte ‘Sicherheit’ und ‘Komfort’ bei der Benutzerkontensteuerung ergibt ein ganz anderes Resultat. Als erstes sollten wir uns darauf einigen, daß das Arbeiten mit administrativen Rechten der grundsätzlich gefährlichste Zustand ist – Malware hat da im Zweifelsfall jede Möglichkeit, den PC zu infiltrieren. Diese Aussage ist übrigens unabhängig vom Vorhandensein von Sicherheitslücken gültig. Um Schad-Software auf meinen Rechner zu bekommen, brauche ich keinen Hacker, der unter Ausnützung dieser Lücken über das Netzwerk in meinen Rechner eindringt. Die meisten Attacken kommen von innen und gehen von eigentlich harmlosen Tätigkeiten aus: dem Installieren eines Treibers zum Beispiel. Das Betriebssystem hat prinzipiell keine Möglichkeit, zu unterscheiden, ob eine Aktion legitim ist oder nicht. Hat der Benutzer die nötigen Rechte, führt das System die Aktion aus.

Ohne Benutzerkontensteuerung blieben zumindest folgende zwei Alternativen.

  • Ich kann für administrative Tätigkeiten mich ab- und als Administrator wieder anmelden, die Tätigkeit ausführen und dann als normaler Benutzer weiterarbeiten. Zeitaufwändig.
  • Ich kann (zumindest sehr viele, nicht alle) administrative Tätigkeiten von meinem normalen Desktop aus mit ‘Run as …’ ausführen. Kompliziert, und für ganz normale, nicht professionelle PC-Benutzer kaum vermittelbar.

Beide Vorgehensweisen sind keine guten Alternativen. Sie mögen sicher sein, sind jedoch auch hochgradig unkomfortabel und führen daher schnell zu Frustration und dazu, doch lieber gleich als Administrator angemeldet zu sein.

Die Benutzerkontensteuerung hingegen ermöglicht es mir als Benutzer, ohne administrative Rechte angemeldet zu sein und trotzdem Tätigkeiten, die diese Rechte erfordern, mit sehr geringem Aufwand durchführen zu können: Ich bekomme dann eine Meldung und kann die Tätigkeit ohne Umwege mit einem administrativen Login autorisieren. Darüber hinaus schützt die Benutzerkontensteuerung sogar dann, wenn ich mit administrativen Rechten angemeldet bin, da auch dann bestimmte administrative Tätigkeiten nochmals bestätigt werden müssen. Somit ist die Benutzerkontensteuerung diejenige Alternative, die Sicherheit und Komfort am besten unter einen Hut bringt.

Nun ist eine spontane Reaktion die, kategorisch zu fordern, die Benutzerkontensteuerung sei stets und ohne Ausnahme auf die höchste Stufe einzustellen. Ich halte das aus verschiedenen Gründen für falsch. Nicht jede Infrastruktur und jeder PC sind gleich konfiguriert und den gleichen potentiellen Gefahren ausgesetzt. Nicht alle Benutzer sind gleich gut geschult oder gleich aufmerksam und geduldig. Ein Berufs-Pilot wird gar nicht erst auf die Idee kommen, Warnungen zu deaktivieren. PC-Benutzer sind jedoch sehr oft keine PC-Profis (was absolut keine Kritik darstellt !!!).

Eine ‘Zwangs-Warnung’ für alle zu fordern, führt zu dem, was Philosophen die ‘selbstverschuldete Unmündigkeit’ nennen. Zu bewundern ist das z.B. in den USA, wo man erfolgreich klagen kann, weil man nicht vor der Tatsache gewarnt wurde, daß frisch gebrühter Kaffee heiß ist. Es liegt außerhalb der Möglichkeiten von Software, einen Benutzer zur Sicherheit zu zwingen, und dies ist auch gar nicht ihre Aufgabe. Software sollte so entwickelt sein, daß sie möglichst sicher ist, und sie sollte sinnvolle Optionen für den Anwender bieten, um dem jeweiligen Informations- und Sicherheitsbedürfnis entgegen zu kommen. Beides ist bei Windows Vista und, in noch höheren Maße, bei Windows 7 der Fall.

Mit freundlichen Grüßen!

 

Ralf M. Schnell

Comments

  • Anonymous
    April 06, 2009
    The comment has been removed