NIFIS kritisiert BSI-Empfehlung: Automatische Windows-Updates nicht ratsam
von , veröffentlicht am 16.08.2011"Die Nationale Initiative für Informations- und Internetsicherheit (NIFIS e.V.) übt Kritik an einer Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI). Benutzer von Windows sollten laut NIFIS nicht die automatische Update-Funktion von Windows nutzen, wie es das BSI auf seiner Homepage empfiehlt. Dieses Vorgehen sei mit zu hohen Risiken verbunden, so der stellvertretende NIFIS-Vorsitzende Mathias Gärtner.
Auf der BSI-Homepage empfiehlt das Amt Benutzern von Windows, Updates automatisch einzuspielen. So sei sicher gestellt, dass Anwender keine Updates verpassen, heißt es auf der Website. Die NIFIS spricht sich ausdrücklich gegen diese Empfehlung aus, so Gärtner: „Prinzipiell ist es natürlich ratsam, sich auf dem neuesten Stand zu halten. Nur kann ein automatisches Update von Windows zahlreiche Probleme verursachen.“ Da bei einem automatischen Update nach Download und Installation oft auch ein Neustart durchgeführt werde, so Gärtner weiter, werden alle offenen Programme automatisch geschlossen, ohne die noch laufenden Prozesse ordnungsgemäß zu beenden oder Daten abzuspeichern. Gärtner schätzt das Risiko eines Datenverlusts bei einem solchen Vorgehen sogar als „hoch“ ein und nennt weitere mögliche Nachteile: „In der Vergangenheit zeigte sich, dass nach einem Update oftmals zahlreiche Programme nur noch eingeschränkt oder gar nicht mehr funktionierten – im Extremfall musste sogar eine komplette Neuinstallation des Betriebssystems und aller Programme daraufhin vorgenommen werden.“
Anstelle der automatischen Installation der Updates empfiehlt die NIFIS Benutzern von Windows, lediglich den automatischen Download einzustellen, so dass Zeitpunkt der Installation und Neustart selbst bestimmt werden und Konflikte mit laufenden Programmen möglichst vermieden werden können. Leider gibt Windows bei dieser Einstellung keine ausreichende Erinnerung, so dass Nutzer genauer auf das Update-Symbol in der Task-Leiste achten müssen."
Quelle: Pressemitteilung der NIFIS e. V.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
6 Kommentare
Kommentare als Feed abonnierenJeder der Windows aufmerksam benutzt weiss eh, dass die default Einstellung unbrauchbar ist. Besonders wenn das booten z.B. wegen Truecrypt nicht automatisch geschieht.
Vielleicht sollte Ihr Verein auch eine PM machen dass im Windows Explorer die Einstellung "Erweiterungen bei bekannten Dateitypen ausblenden" abgeschaltet gehört. Ist zwar auch nicht neu (ähnlich wie die Pressemitteilungen des ADAC dass im Winter Winterreifen wichtig sind), aber sinnvoll.
Ich finde nicht, dass man Empfehlungen des BSI, die vielleicht diskussionswürdig sind, aber durchaus auf soliden sicherheitstechnischen Erwägungen basieren, so einfach mit Improvisation kontern sollte.
Nutzer, die im automatischen Neustart ein Risiko des Datenverlustes sehen, können den automatischen Neustart selektiv abschalten; eine komplette Neuinstallation nach jeglicher fehlerhafter Softwareinstallation ist durch Disk-Imaging zu vermeiden, nicht hinsichtlich Windows-Updates.
#2: ... nicht _lediglich_ hinsichtlich Windows-Updates, war gemeint.
#Richard
Die Argumente überzeugen nicht.
*den automatischen Neustart selektiv abschalten* - wie soll man sich das vorstellen?
Hätte das BSI auf die Risiken hingewiesen und Möglichkeiten der Umgehung genannt oder beispielsweise MS zur Verbesserung seiner Funktion aufgefordert, wäre die Stellungnahme der NIFIS anders ausgefallen.
Der automatische Neustart lässt sich entweder per Gruppenrichtlinie oder über einen Registry-Eintrag entsprechend den Konfigurationshinweisen des Herstellers deaktivieren: http://support.microsoft.com/kb/328010/de
Nutzer, die das angesprochene Problem haben, erhalten dazu im Netz bereits eine Vielzahl an Hilfestellungen.
Sicher könnte das BSI ebenfalls auf solche Optionen hinweisen. Eine Grundschutzempfehlung, ebenso wie eine Standard-Konfiguration, wird allerdings per se nicht allen konkreten Anwenderbedürfnissen gerecht.
Ihre Presseerklärung hingegen bricht mit einem grundlegenden Prinzip der IT-Sicherheit: Für den Fall, dass eine sicherheitlich erwünschte Richtlinie einen nachteiligen Nebeneffekt hat, ist vorrangig dieser Nachteil zu beseitigen anstatt die Richtlinie aufzuheben.
@Richard
Dass die Richtlinie "sicherheitlich" erwünscht sei, halten wir ja für falsch.
Es ist Sache von MS, die Funktion korrekt zu implementieren.
Wenn BSI die Funktion empfiehlt, sollte idealerweise vorab eine Verbesserung erwirkt werden. Zumindest ist auf die Probleme und mögliche Krücken zur Umgehung hinzuweisen. Wer die von Ihnen zitierten Hinweise findet, ist sicher nicht Adressat der BSI-Empfehlung.