Microsoft: Ist Microsoft noch zu trauen?
Lars Behrens, Dipl.-Paed
Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.
Redmonder Unternehmen
Es waren nicht gerade ruhmreiche Wochen für das Redmonder Unternehmen:
"Die Tür steht offen und keiner kümmert sich - Das BSI warnt vor einer gefährlichen Sicherheitslücke bei Microsoft" hiess es im März 2021 auf zeit.de: "Unternehmen und Institutionen (...) schliessen sie nicht – und werden wohl längst ausgespäht." (Quelle: https://www.zeit.de/digital/internet/2021-03/microsoft-it-sicherheit-bsi-schwachstelle-mail-server?)
Der "Hafnium Exchange-Server-Hack" machte Furore und brachte Microsoft ungewollte (nämlich negative) Publicity. Was war geschehen?
Microsoft hatte Anfang März 2021 ein ausserplanmässiges Sicherheitsupdate ausgerollt, das einige Schwachstellen im Exchange-Server der Versionen 2010 bis 2019 schliessen sollte. Anfangs "stellte der Hersteller die Bedrohung noch als recht gering dar. Inzwischen läuft eine beispiellose Angriffswelle gegen entsprechende Exchange-Instanzen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft die Alarmstufe Rot aus" hiess es dazu auf https://www.heise.de/news/Der-Hafnium-Exchange-Server-Hack-Anatomie-einer-Katastrophe-5077269.html.
Da laut Microsoft eine aus China operierende Gruppe namens Hafnium hinter den Angriffen stand, hatte die Sicherheitslücke schnell ihren Namen weg. Und es mehrten sich "Stimmen, die zumindest einen Teil der Verantwortung bei Microsoft sehen" (zit. n. ebd.).
Microsofts Exchangeserver
Microsofts Exchangeserver ist aber nun mal State-of-the-Art bei Groupwarelösungen sowohl im KMU-Bereich als auch bei Grossunternehmen. Das Vertrauen in das System war bei vielen Admins erschüttert. Zugleich mag so mancher IT-Experte die Nachtigall trapsen gehört haben, den - oh Wunder! - erstaunlicherweise waren die in Microsofts Cloud gelagerten Office 365-Versionen nicht betroffen. Ein Schelm, wer auf den Gedanken kommen könnte, dass Microsoft die Schwachstelle der On-Premise (also beim Kunden selbst betriebenen statt bei Microsoft in der Cloud ausgelagerten)-Lösungen nicht ungelegen kam ...
Nun waren also IT-Administratoren weltweit am Schwitzen und Patchen und Wiederherstellen - da traf der nächste Bug ein. Er kam in Gestalt eines regulären Windows-Updates daher:
"Nachdem auch Microsoft den Bluescreen durch Druckertreiber bestätigt, arbeitet das Unternehmen mittlerweile an einer Lösung des Problems. (...) Ein Patch (soll) in dieser Woche auf Windows-10-Geräte aufgespielt werden (und) den Bug beheben, der durch die neuen Updatepakete vom März 2021 hervorgerufen wird. Das betrifft die Updates KB5000802 (Windows 10 2004/20H2), KB5000803 (Windows Server), KB5000808 (1909), KB5000822 (1809) und KB5000809 (1803)."
Passende Produkt-Empfehlungen
Allerdings führte das Update des fehlerhaften Updates wiederum zu neuen Problemen
"Nachdem Microsoft einen Sicherheitspatch für die Druckerprobleme und Bluescreens in Windows 10 veröffentlicht hatte, nahmen die Fehlermeldungen nicht ab. Teilweise konnten Drucker Tabellen, Grafiken und Labels nicht mehr richtig ausdrucken. Nun hat das Unternehmen gehandelt und erneut einen Patch aufgespielt, der den Patch verbessern soll, welcher wiederum die Bluescreen-Probleme mit Druckertreibern angeht."
Allerdings funktionierte der Patchvorgang über die Windows-Updates wohl oftmals nicht beziehungsweise zog er weitere Probleme nach sich. So war es "beispielsweise nicht immer möglich, die Updates direkt von dort aus zu beziehen. Stattdessen werde ein Installationsfehler ausgegeben" (zit. n. ebd.).
So mancher IT-Verantwortliche - und vielleicht auch Sie selbst als Leser oder Leserin dieser Zeilen - mag durch diese gehäuften Vorfälle ins Grübeln gekommen sein, ob man sich tatsächlich noch auf die angebliche Sicherheit und Stabilität von Windows-Systemen verlassen könne. Gibt es denn Alternativen zu Microsofts Systemen, und sind diese "besser" oder "schlechter" - oder gar überhaupt nicht vergleichbar?
Die Diskussion ist tatsächlich auch schon fast so alt wie die Windows-Systeme selbst, die in den 90er Jahren des vorigen Jahrhunderts das Licht der Welt erblickten. Anfangs bespöttelt und von den "wahren" IT-Experten (und wenn es auch nur selbsternannte waren) kaum ernst genommen, haben Windows 3.11, 95, 98, Me, Vista, 7 und das aktuelle Windows 10 das Gesicht der IT nachhaltig geprägt. Vor allem haben Windows-Betriebssysteme die unbestrittene Vorherrschaft über die Desktops (PCs und Laptops) übernommen. Und bei Anmelde-, Datei-, Druck- und Anwendungsservern samt dahinter stehender Datenbanksysteme dominiert Microsoft ohnehin schon lange das Bild. Ausnahmen wie Oracle- oder MySQL-Datenbanken bestätigen die Regel.
Linux und FreeBSD
Im Bereich der Rechenzentren, Hochleistungs- und Web-Server, Router und Firewalls sieht das ganz anders aus - hier gibt es nach wie vor Unix beziehungsweise Linux und FreeBSD. Eine verblüffende Gegenüberstellung:
"In January 2021, 1.93% of all desktop operating systems worldwide ran on Linux.
In February 2021, Linux held a market share of 0.81 of the global desktop/tablet/console market.
In January 2021, the net market share of Linux was 2.35%."
(Quelle: https://hostingtribunal.com/blog/linux-statistics/#gref)
Man kann also schliessen, dass Windows für weit über 90 % all dessen steht, was landläufig als "PC" bezeichnet wird: Workstations und Notebooks (Apples MacOS stellt ebenfalls einige wenige Prozentpunkte). Aber sehen wir einmal auf den Bereich der Server - und dabei reden wir nicht vom Anwendungsserver auf Basis von Windows 2016 oder 2019, der in vielen KMUs die Brot- und Buttermaschine, quasi das Arbeitspferd darstellt:
"In 2021, 100% of the world’s top 500 supercomputers run on Linux.
Out of the top 25 websites in the world, only 2 aren’t using Linux.
96.3% of the world’s top 1 million servers run on Linux.
90% of all cloud infrastructure operates on Linux and practically all the best cloud hosts use it.(zit. n. ebd.)
Im Serverbereich ausserhalb der mehr oder weniger geschlossenen Unternehmensnetze hat Windows praktisch nichts zu vermelden. Und noch ein weiteres Feld kommt hinzu - wir haben auf weka.ch schon mehrfach darüber berichtet: Mobile Devices - Smartphones, Tablets und Wearables wie eine Watch haben entweder ein Android oder Apples iOS als Grundlage - Windows kommt dort unter ferner liefen, eher trifft man schon auf ein Enzian im Hochgebirge als auf ein Smartphone mit einem Windows als Betriebssystem.
Vorherrschaft von Windows
Allerdings bleibt die Vorherrschaft von Windows (namentlich 10) auf den Desktops dieser Welt. Und nicht nur Microsofts Officepaket mit Word, Excel, Power Point und so weiter ist ein Quasi-Standard. Alternativen aus der rührigen OpenSource-Community wie LibreOffice oder das ins Hintertreffen geratene Open Office können im Grunde nichts schlechter als die Bezahlvariante einer Bürosuite namens Microsoft Office - aber letzteres gibt den Standard vor. Dieser Standard an sich ist wertneutral, aber ein mit Microsofts Office formatiertes Dokument sieht in LibreOffice höchstwahrscheinlich etwas anders und merkwürdig aus. Umgekehrt gilt das genauso. Setzen Sie Formularfelder ins Dokument, wird das Ganze eher noch schlimmer.
Und damit sind wir auch schon beim nächsten und ebenso entscheidenden Punkt: Auch das Gros der Softwarehersteller - von Addison über DATEV zu SAP und so weiter - setzt zwingend ein Windows-System voraus. Das ist auch verständlich, denn aus Kostengründen kann ein Unternehmen seine Software nicht an alle möglichen Betriebssystemvarianten anpassen. Es gäbe ja ohnehin nur Apples MacOS, die verschiedenen Linuxderivate wie Debian oder Ubuntu und Free-BSD. Wie Sie es drehen und wenden - an Windows führt derzeit zumindest auf dem Desktop kein Weg vorbei. Durch eine Migration in Cloudlösungen können Sie die lokale Sicherheitsproblematik verlagern und die Verantwortung für den sicheren Betrieb dem Cloudbetreiber auferlegen. Allerdings begeben Sie sich in andere Abhängigkeiten, und es tauchen neue Fragestellungen auf wie etwa das Backup und Restore versehentlich gelöschter Daten.
