Microsoft "Fürchterliche Sicherheitsmängel"

Keine Geheimniskrämer. Private Kundendaten waren über einen Monat lang zugänglich.

Redmond - Mindestens einen Monat lang stand die Kunden-Datenbank des größten Software-Herstellers der Welt für jeden offen, der über einen Web-Browser und die passsende Internet-Adresse verfügte.

Dies berichtete der US-Branchendienst Newsbyte am Donnerstag unter Berufung auf den 20-Jährigen Hacker und Sicherheits-Berater Adrian Lamo. Mit geringstem Aufwand sollen sämtliche Kundendaten, Bestellungen und Zahlungsvorgänge sämtlicher Kunden einsehbar gewesen sein, die jemals etwas bei Microsoft bestellt haben, heißt es in dem Bericht. Zu den frei zugänglichen Informationen gehörte zum Beispiel die geheime Telefonnummer eines bekannten Schriftstellers aus New York, der ungenannt bleiben wollte.

Auch die Bestelldaten von Carolyn Meinel waren abrufbar. Die Sicherheitsexpertin, die es in den USA mit ihrer Buchreihe mit dem Titel "Happy Hacker" zu einiger Popularität gebracht hat, hatte bei Microsoft ein Windows 2000 Service Pack bestellt und mit ihrer American-Express-Karte bezahlt. Meinel zeigte sich – wie andere Kunden – nicht begeistert darüber, dass ihre Daten frei zugänglich waren: "Ich denke, das ist nur ein weiteres Beispiel der fürchterlichen Sicherheitsmängel bei Microsoft."

Microsoft-Sprecher Jim Desler bestätigte das Sicherheitsloch und gab als Grund dafür menschliches Versagen an. Innerhalb einer Stunde nach Bekanntwerden der Schwachstelle sei das Problem behoben worden. Zwar habe jeder, der die richtige URL gekannt habe, bestimmte Daten abrufen können, Kreditkarten-Informationen seien jedoch nicht darunter gewesen.

Hacker Lamo hat für die unglaubliche Leichtsinnigkeit des Konzerns wenig tröstliche Worte übrig: "Wenn man sich überlegt, welchen Aufwand Microsoft treibt, um die unautorisierte Verbreitung ihrer Software zu verhindern, hätte man meinen können, dass auch etwas von der Genialität, die man dafür braucht, zu denen hinübergeschwappt sei, die sich um die Sicherung der Kunendaten kümmern." Immerhin habe Microsoft nach bekanntwerden der Panne sehr schnell reagiert und nicht "über ein Jahr gebraucht, wie das AOL sonst tut."