Zwischenbilanz: So sorgt Microsoft für mehr Sicherheit


ZDNet: Um wirklich umfassende Sicherheit zu bieten, müsste Microsoft doch eigentlich seinen gesamten Code wegwerfen und nochmal von vorne anfangen. Aber das geht natürlich nicht…

Köhler: Sie setzen bei Ihrer Forderung voraus, dass die bekannten und künftigen Schwachstellen im Betriebssystem sitzen – das tun sie aber zum überwiegenden Teil nicht mehr: Die meisten Sicherheitsprobleme entstehen heute durch Lücken in den Anwendungen und nicht im Betriebssystem. Viele dieser Schwachstellen sind nicht von Haus aus vorhanden, sondern entstehen durch die Anpassung im Unternehmen. Hinzu kommt, dass den Entwicklern in den Unternehmen häufig keine Methodologie und Werkzeuge zur sicheren Softwareentwicklung zur Verfügung stehen.

Bei Microsoft verwenden die Entwickler unseren Security Development Lifecycle – dabei geht Sicherheit vor Funktionalität. Vista zum Beispiel durchlief komplett den SDL-Prozess. Mit Vista haben wir einen komplett neuen Betriebssystemkern. Wir haben also tatsächlich einen guten Teil des Vorgänger-Codes über Bord geworfen und von Grund auf neu geschrieben.

ZDNet: Können Sie dafür ein anschauliches Beispiel nennen?

Köhler: Früher konnten Hacker durch einen Pufferüberlauf Betriebssystem-APIs für sich nutzen und Schadcode über das Internet nachladen. Bei Vista verwenden wir die ASLR-Technik (Address Space Layout Randomization). Sie erschwert es Hackern, Betriebssystem-APIs überhaupt zu lokalisieren. Mit diesem Ansatz eliminieren wir beispielweise eine Voraussetzung für Angriffe auf den Kern des Betriebssystems und reduzieren damit die Angriffsfläche.

Zahl der Schwachstellen im Betreibssystem geht zurück
(Quelle: Microsoft Security Intelligence Report v3)

ZDNet: Dennoch kommt die Einführung von Vista nur schwer voran, Nutzer klagen über Probleme, und immer wieder liest man, dass enttäuschte Anwender „ihr XP“ zurückhaben wollen.

Köhler: Das liegt aber weniger an Vista als daran, dass viele unsere Partner mit den Treibern nicht nachkamen. Das hat sich aber jetzt eingespielt. Der Wechsel von Vista zurück zu XP ist aus Sicherheitsaspekten keinesfalls sinnvoll: Das wäre so, als ob ich bei meinem Auto ABS und Gurt
ausbauen würde.

ZDNet: Das Betriebssystem – Vista – ist also grundlegend erneuert worden. Was ist mit Word 2007? Ist das nicht lediglich eine Sammlung von neuen Funktionen, an die man sich erst gewöhnen muss, in überarbeitetem Design?

Köhler: Zu den Funktionen bin ich nicht der richtige Ansprechpartner – aus Sicherheitsgesichtspunkten heraus finde ich es aber wichtig zu betonen, dass Benutzerführung auch ein Teil einer umfassenden Sicherheitsstrategie ist: Ist sie kompliziert und unübersichtlich, klickt man schnell man da, wo man eigentlich gar nicht wollte oder soll. So gesehen ergibt ein erneuertes Design – auch wenn man sich sicher erst daran gewöhnen muss, wie an alles Neue – durchaus Sinn und ist weitaus mehr als reine Kosmetik.

Themenseiten: IT-Business, Technologien, Windows Vista

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zwischenbilanz: So sorgt Microsoft für mehr Sicherheit

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *