Content:

Das Problem mit den 200 Millionen Passport-Nutzerkonten bei Microsoft, über den Nutzer sich gegenüber E-Commerce-Betreibern ausweisen können, könnte zum Drama ausarten. Denn die Sicherheit des umstrittenen Passport-Services war spätestens seit September 2002 nicht mehr gewährleistet, wie am Freitag bekannt wurde. Das könnte das Unternehmen theoretisch ein Bussgeld von bis zu 2,2 Billionen Dollar kosten. Zudem wurde Microsoft beschuldigt, über die Sicherheit des Systems falsche Angaben gemacht zu haben. Zu beweisen war das zwar nicht, doch der am Ende gefundene Vergleich könnte Microsoft teuer zu stehen kommen, da sich das Unternehmen verpflichtete, für jede Sicherheitsverletzung eine Strafe von 11 000 Dollar zu zahlen.

Eines dieser Passport-Konten hatte Muhammad Faisal Rauf Danka. Mehrere Male, so Danka zu «Spiegel Online» vom Freitag, sei sein Passport-Konto missbraucht worden, und es seien in seinem Namen und auf seine Rechnung Transaktionen durchgeführt worden. Der pakistanische Programmierer ging der Sache nach und fand schnell heraus, wie der «Hack» möglich wurde: «Alles, was man tun musste», so Danka, «war, eine bestimmte Webadresse anzusteuern, über die die Passport-Konten offen zugänglich waren.» Als er Microsoft über den klaffenden Sicherheitskrater informierte, war nach zehn E-Mails später noch immer nichts passiert. Derzeit prüft Microsoft intern, wie es hat geschehen können, dass niemand Dankas E-Mail-Flut wahrnahm. Peinlich, denn Sicherheit ist das neue, von Bill Gates zum Firmenschlachtruf erhobene Motto Microsofts. Sollte sich herausstellen, dass jemand bei Microsoft die brisante Angelegenheit verschlafen hat, wird das ein teures Nickerchen werden. Erst nach der zehnten Warnung ging Danka an die Öffentlichkeit und schaffte es, die zuständigen Microsoft-Sicherheitsleute zu alarmieren. Nach weniger als einer Stunde war das Leck geschlossen.

Alles, was unternommen werden musste, war, systemintern ein paar Filter zu setzen, gab Microsoft-Manager Adam Sohn zu. «Wir haben zugelassen, dass jemand von aussen etwas im System tat, was nur das System selbst hätte können sollen», sagte Sohn einem Reporter der Nachrichtenagentur AP weiter. «Da hat jemand herumgestochert und herausgefunden, wie man das hinbekommt.» Die betroffenen gehackten Konten habe Microsoft umgehend geschlossen. Die Federal Trade Commission (FTC) wird nun von Microsoft eine Stellungnahme einfordern, in der das Unternehmen wird darlegen müssen, wie es zu dem Leck gekommen ist. Die 2,2-Billionen-Dollar-Strafe sei möglich, bestätigt eine Sprecherin der FTC: Die Höhe der Strafe könne auf verschiedene Art festgesetzt werden, und eine davon sei, für jedes potenziell gefährdete Konto ein Bussgeld einzufordern.