Das Betriebssystem Windows 2000 der Firma Microsoft enthält eine Softwarekomponente namens Diskeeper zur Optimierung der Datenspeicherung. Es handelt sich hierbei um ein in das Betriebssystem integriertes Programm eines Drittherstellers.
Aufgrund von dessen Verbindungen zur Scientology-Vereinigung sind Befürchtungen laut geworden, das Programm könnte genutzt werden, um unbemerkt Anwenderdaten auszuspähen. In diesem Zusammenhang sind Prüfungen der Software durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgt. Wegen der nach Verhandlungen mit Microsoft zur Verfügung gestellten Möglichkeit, die Komponente zu deaktivieren, wurde von der vom BSI ursprünglich beabsichtigten Quellcode-Prüfung abgesehen. Eine auf der Analyse des Programmcodes basierende, endgültige Bewertung der Vertrauenswürdigkeit der Software liegt damit nicht vor. Bislang haben sich jedoch keine Hinweise darauf ergeben, dass das Programm verborgene Funktionalitäten enthält oder für die unbemerkte Übermittlung von Daten missbraucht werden kann.
Vor diesem Hintergrund hat der IT-Ausschusses der Landesregierung einen mit dem Landesbeauftragten für den Datenschutz abgestimmten Beschluss zum Einsatz von Windows 2000 in der Landesverwaltung gefasst. Danach bestehen gegen dessen Einsatz auch in sicherheitsrelevanten Bereichen keine Bedenken, wenn das Defragmentierungstool Diskeeper deinstalliert wird oder sicherheitsrelevante Daten verschlüsselt werden.
Nähere Informationen zur Deinstallation sind in der Zeitschrift c't des Heise-Verlags, Heft 5/2000, Seite 157 und Heft 23/2000, Seite 46 dargestellt. Unter der Internet-Adresse http://www.heise.de/ct/ftp/00/05/148/default.shtml ist ein Programm zum Entfernen der Defragmentierungskomponente verfügbar. Offen ist gegenwärtig noch, inwieweit bei Aktualisierungen des Betriebssystems durch Service Packs o.ä. die durchgeführten Änderungen erhalten bleiben. Gegebenenfalls sollte daher eine Kontrolle der Einstellungen erfolgen.
Generell kann die Vertrauenswürdigkeit von Software durch die Anwender nur ausnahmsweise und sehr bedingt verlässlich eingeschätzt werden; eine Prüfung stößt zudem an praktische Grenzen. Dies betrifft, unabhängig vom vorliegenden Fall, grundsätzlich jede (systemnahe) Softwarekomponente. Bei der Verarbeitung sensibler Informationen muss dies bedacht werden. Soweit nicht durch den Einsatz zertifizierter Lösungen oder - notwendigerweise ebenfalls vertrauenswürdiger - kryptografischer Verfahren ein ausreichender Schutz erreicht werden kann, sollte gegebenenfalls auf den Einsatz einzelner Produkte oder die Nutzung bestimmter Funktionen verzichtet werden.