Eine genervte Bemerkung über unklare Installer

Ich behaupte: Wer sich keinen Mist auf den PC installiert, der braucht derzeit kein Antivirenprogramm. Was aber ist Mist? Wie kann der Nicht-Poweruser den erkennen? Ich behaupte zusätzlich: Gar nicht, denn die Windows-Anwender kriegen wenig Chancen dazu, im Gegenteil, alles wird getan, um sie zu verwirren.

Als Beispiel fällt mir seit Wochen immer wieder UAC auf. Die Benutzerkontensteuerung dunkelt bei jedem wichtigen Ereignis den Screen ab und fragt nach, ob man die Änderung auch wirklich will. (Welche Änderung genau, das erfährt man leider nie.) Anders als beim Rohrkrepierer Vista passiert das nicht mehr bei jeder Kleinigkeit, in Windows 7 ist diese Funktion daher auf wie ich finde akzeptable Weise implementiert, denn man ist nicht mehr versucht, sie komplett abzuschalten.

Und doch hat der DAU damit keine Chance, wenn Software-Installationen so aussehen:

8ccb6e.msi installieren oder nicht?

Mal ehrlich: Woher sollen die Nicht-Powerusers dieser Welt wissen, ob sie das zulassen können? Im Fall des hier gezeigten PDF-XChange geht’s ja noch, denn da startet man den Installer selber, kann also einen ursächlichen Zusammenhang zwischen Doppelklick einer heruntergeladenen Datei und diesem Screen herstellen.

Ich erinnere mich aber, ähnliche Screens dauernd bei den regelmäßigen automatischen Updates von Java, Flash und ähnlichem Gewürm zu sehen, dort also, wo man vorher NICHT selber auf ein heruntergeladenes Setup doppelgeklickt hat. Da hat man dann die Wahl:

  • Nein klicken -> die Sicherheitslücke bleibt (möglicherweise)
  • Ja klicken -> richtet (möglicherweise) den Zombie-Bot-Wurm-Trojaner ein

Mit dieser Art von Installationsprozedur bringt eine Benutzerkontensteuerung rein gar nichts. “Irgendwas sagte, ich soll was installieren” -> “Irgendwas fragte, ob ich sicher bin, und ich, ich hab dann OK geklickt” – so was hört man dann, wenn man mal wieder mit dem digitalen Insektizid anrückt… Da muss es doch eine andere Möglichkeit geben!

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren …

2 Antworten

  1. Jörg Berger sagt:

    Was wäre denn die Alternative? Ein selbstsprechender Name, so dass jede EXE sich mit “Wichtiges Sicherheitsupdate” meldet? Das haben wir schon per Mail. Und obwohl allen Usern immer wieder eingetrichtert wird, dass Sicherheitsupdates niemals per Mail versendet werden, wird weiterhin mit Sicherheit auf das Sicherheitsupdate der Mail geklickt.

    • Andreas sagt:

      Ja, die Frage ist berechtigt. Meine Antwort: Was mit Java kommt, soll irgendwas mit Java heissen, was den Adobe Reader aktualisiert, soll irgendwas mit Adobe Reader heißen, und deren Websites sollen bitteschön aktuell dokumentieren, was da kommt – Sun VirtualBox kann das ja auch (freilich mit weitaus längeren Updateintervallen).

      Dann hat der User wenigstens eine Chance, einen Sinnzusammenhang herzustellen zum Beispiel zwischen dem Start seines Browsers und der Installation einer neuen Version dieses Browsers und seiner Erweiterungen. “Wichtiges Sicherheitsupdate FÜR FLASH” gibt dem User wenigstens die Chance, sich zu fragen: “Moment mal, hab ich das überhaupt? Und warum kommt das plötzlich von extern, warum kommt es nicht wie sonst, wenn Flash startet?” Dann kann der User ablehnen, wenn sich ein Sicherheitsupdate zu allgemein meldet.

      Der Acrobat Reader checkt (wenns noch stimmt) soweit ich mich erinnere seine Updates beim Start – das kapiert auch ein DAU, dass ein Acrobat-Update-Hinweis nur dann erscheint, wenn er ein PDF geöffnet hat. Oder?

      Oder vielleicht hast Du recht, und es ist einfach *alles* vergebens ;-)