Wie Microsoft «kleine» Entwickler blockiert

Der junge Entwickler Donald (Name erfunden) hat gerade sein erstes Programm veröffentlicht. Es passt perfekt für seine Zielgruppe und ein erster «Early Adopter» lädt es auch gleich und versucht es zu starten. Windows reagiert darauf prompt mit seinem «Smart Screen» und weist den frühen Kunden mit harschen Worten darauf hin, dass es sich bei der neuen Softwarer womöglich um Malware handelt.

Ganz prominent wird der Button «Don't run» präsentiert. kleiner im Text steht der Link «More info». Einziger Grund für den blauen Screen ist, dass Windows und Microsofts Bots und KIs das neue Programm noch nicht kennen. Ob Donald eine digitale Signatur erworben hat oder nicht ist dabei egal. Microsoft kennt das Programm nicht, also ist es verdächtig und wird abgelehnt.

Die Reputation von Donald bei seinem ersten Kunden ist schon dahin, bevor der sein Programm überhaut zu Gesicht bekommen hat. Zwar kann man über den Link «More info» und einem anschliessenden Klick auf «Install anyway» die Software dennoch installieren, aber das dürfte in den gegenwärtigen sicherheitssensiblen Tagen kaum jemand tun.

Demnächst, so der Online-Dienst Imageview, wird womöglich Winget den Microsoft Store ablösen. Wird dann alles besser? Laut Imageview nicht. Auch Winget stuft ein neues, Microsoft unbekanntes Programm erst einmal als Malware ein. Traurig, aber war. Eine Anfrage von Imageview bei Microsoft ergab: dass es der Grosskonzern als ausreichend ansieht, dass der Kunde das Programm ja trotz der harschen Einstufung als Malware seitens Microsoft noch installieren kann.

Donald hat also weiter mit Reputationsproblemen zu kämpfen. Da sein Programm aber so gut ist und er nicht aufgibt, erreicht er irgendwann den Punkt, dass die Bots bei Microsoft seine Anwendung kennen und Neuinstallationen ohne Malware-Bildschirm durchgehen lassen. Aber es droht neues Unheil.

Nach einem Jahr läuft nämlich Donalds digitale Signatur ab. Aus Kostengründen hat er sie nur für ein Jahr erworben. Er holt sich daher eine neue Signatur und stattet Version 2 seiner Anwendung damit aus. Der Schreck ist gross, denn mit der neuen Signatur beginnt die Malware-Einstufung durch Microsoft aufs Neue.

Umgehen kann man den Teufelskreis, so schreibt Imageview, durch ein «Extended Validation Code Signing-Zertifikat». Das Signieren von Code mit einem dieser Zertifikate umgeht SmartScreen automatisch. Sie sind allerdings für Unternehmen reserviert und unterliegen zusätzlichen Hintergrundprüfungen durch Zertifizierungsstellen. Ausserdem sind sie teuer, statt einem einfachen Zertifikat für circa 130 US-Dollar kosten sie etwa 700 US-Dollar pro Jahr.

Mehr dazu lesen Sie in diesem Beitrag von Imageiew.