Beim Thema IT-Sicherheit gerät Microsoft regelmäßig ins Kreuzfeuer: Häufig zu Unrecht, wie Tom Köhler, Director IT-Security Strategy & Communication bei Microsoft Deutschland, im Interview mit ZDNet meint.
IT-Sicherheit und Microsoft - lange schienen das zwei zu sein, die nie mehr Freunde werden. In jüngster Zeit gab es jedoch immer wieder Meldungen, die aufhorchen ließen. Beispielsweise stellten Experten der ETH Zürich[1] ein Verfahren vor, das die Sicherheit von Betriebssystemen anhand von Zero-Day-Lücken misst. Dafür verglichen die Wissenschaftler 658 Sicherheitsupdates von Microsoft[2] und 738 von Apple[3] aus den vergangenen sechs Jahren. Das Ergebnis: "Während sich die Anzahl offener Schwachstellen bei Microsoft stabilisiert hat, hat Apple inzwischen Microsoft überholt."
Die Wissenschaftler haben nicht nur die Anzahl der aufgetretenen Fehler untersucht, sondern auch die Zeiträume zwischen Entdeckung und Veröffentlichung einer Lücke beziehungsweise bis zum Erscheinen eines Updates oder Exploits. "Im Durchschnitt war Microsoft in der Lage, die Zahl offener Schwachstellen konstant unter 20 zu halten. Apple konnte den Wert nicht stabilisieren", heißt es in dem Bericht. Die Experten führen das unter anderem auf die gestiegene Popularität von Apple-Plattformen zurück - sowohl bei Anwendern als auch bei Malware-Autoren.
Microsoft hat damit schon länger zu kämpfen: Als am weitesten verbreitetes PC-Betriebssystem und als breit eingesetztes Serverbetriebssysytem sind Microsoft-Produkte für Hacker einfach am lohnendsten. Die Verantwortung, sichere Lösungen anzubieten hat Microsoft ernsthaft erst 2002 angenommen, als das Konzept des Trustworthy Computing[4] vorgestellt wurde. Dass damit nicht von heute auf morgen Ergebnisse verbunden waren, lag an der Architektur der Microsoft-Software selbst: Denn gerade einer der zentralen Vorteile von Windows - die tiefe Integration von Betriebssystem und Anwendungen - macht es möglich, dass Schadsoftware die Anwendungen als Einfallstore nutzt. Dass dieses Phänomen nicht auf Microsoft beschränkt ist, musste kürzlich auch Apple erfahren, als Hacker das Macbook Air im Rahmen eines Wettbewerbs über eine Zero-Day-Lücke in Safari innerhalb von nur zwei Minuten knackten[5].
Die enge Verzahnung von Windows und den Microsoft-Anwendungen ließ sich aber nicht ohne weiteres auflösen. So lebten Heerscharen von Sicherheitsanbietern mehrere Jahre ganz gut von und mit Microsofts Schwächen - bis der Konzern begann, mit dem Gedanken an eigene Sicherheitsprodukte zu spielen. Der Plan, diese eben so eng in das bestehende Portfolio zu integrieren, wie das bis dahin bei neuen Microsoft-Produkten üblich war, wurde bald aufgegeben: Microsoft hatte seine Lektionen aus den Entscheidungen der Kartellgerichte und der EU-Kommission gelernt. Anschuldigungen[6] der bisherigen Partner, die auf einmal Wettbewerber wurden, blieben dennoch nicht aus.
Die mit dem Kauf des Antiviren-Software-Herstellers Gecad[7] und des Anti-Spyware-Anbieters Giant[8] erworbenen Technologien werden im neuen Microsoft-Gewand daher nicht als integraler Bestandteil, sondern unter dem Dach von Windows Onecare als kostenpflichtiger separater Dienst vertrieben[9]. Die durch den Kauf von Sybari[10] hinzugekommenen Technologien mündeten ebenfalls in ein eigenständiges Produkt: Microsoft Forefront Security[11].
So weit der Stand der Dinge bis heute. Im Interview mit ZDNet erklärt Tom Köhler, Director IT-Security Strategy & Communication bei Microsoft Deutschland, wie die weitere Security-Strategie des Softwareriesen aussieht und wo er die Schwerpunkte setzt.
Köhler: Sie setzen bei Ihrer Forderung voraus, dass die bekannten und künftigen Schwachstellen im Betriebssystem sitzen - das tun sie aber zum überwiegenden Teil nicht mehr: Die meisten Sicherheitsprobleme entstehen heute durch Lücken in den Anwendungen und nicht im Betriebssystem. Viele dieser Schwachstellen sind nicht von Haus aus vorhanden, sondern entstehen durch die Anpassung im Unternehmen. Hinzu kommt, dass den Entwicklern in den Unternehmen häufig keine Methodologie und Werkzeuge zur sicheren Softwareentwicklung zur Verfügung stehen.
Bei Microsoft verwenden die Entwickler unseren Security Development Lifecycle - dabei geht Sicherheit vor Funktionalität. Vista zum Beispiel durchlief komplett den SDL-Prozess. Mit Vista haben wir einen komplett neuen Betriebssystemkern. Wir haben also tatsächlich einen guten Teil des Vorgänger-Codes über Bord geworfen und von Grund auf neu geschrieben.
ZDNet: Können Sie dafür ein anschauliches Beispiel nennen?
Köhler: Früher konnten Hacker durch einen Pufferüberlauf Betriebssystem-APIs für sich nutzen und Schadcode über das Internet nachladen. Bei Vista verwenden wir die ASLR-Technik (Address Space Layout Randomization). Sie erschwert es Hackern, Betriebssystem-APIs überhaupt zu lokalisieren. Mit diesem Ansatz eliminieren wir beispielweise eine Voraussetzung für Angriffe auf den Kern des Betriebssystems und reduzieren damit die Angriffsfläche.
 |
| (Quelle: Microsoft Security Intelligence Report v3) |
ZDNet: Dennoch kommt die Einführung von Vista nur schwer voran, Nutzer klagen über Probleme, und immer wieder liest man, dass enttäuschte Anwender "ihr XP" zurückhaben wollen.
Köhler: Das liegt aber weniger an Vista als daran, dass viele unsere Partner mit den Treibern nicht nachkamen. Das hat sich aber jetzt eingespielt. Der Wechsel von Vista zurück zu XP ist aus Sicherheitsaspekten keinesfalls sinnvoll: Das wäre so, als ob ich bei meinem Auto ABS und Gurt ausbauen würde.
ZDNet: Das Betriebssystem - Vista - ist also grundlegend erneuert worden. Was ist mit Word 2007? Ist das nicht lediglich eine Sammlung von neuen Funktionen, an die man sich erst gewöhnen muss, in überarbeitetem Design?
Köhler: Zu den Funktionen bin ich nicht der richtige Ansprechpartner – aus Sicherheitsgesichtspunkten heraus finde ich es aber wichtig zu betonen, dass Benutzerführung auch ein Teil einer umfassenden Sicherheitsstrategie ist: Ist sie kompliziert und unübersichtlich, klickt man schnell man da, wo man eigentlich gar nicht wollte oder soll. So gesehen ergibt ein erneuertes Design - auch wenn man sich sicher erst daran gewöhnen muss, wie an alles Neue - durchaus Sinn und ist weitaus mehr als reine Kosmetik.
ZDNet: Der Anwender als größtes Sicherheitsrisiko[12] - dieses Problem löst aber doch auch Office 2007 nicht?
Köhler: Alleine nicht, aber es trägt dazu bei. Das ist Microsoft auch bewusst, und wir unterstützen deshalb eine ganze Reihe von Aktionen und Initativen, die genau an diesem Punkt ansetzen. Das fängt mit "Sicherheit macht Schule[13]" an, geht über "Deutschland sicher im Netz[14]" bis zu unserem Security Assessment Tool[15]. Damit bekommen auch kleinere Unternehmen, die sich keine spezialisierten Berater leisten können, Unterstützung dabei, ihren Status Quo in puncto IT-Sicherheit festzumachen.
ZDNet: Sind diese Kampagnen und Aktionen nicht eigentlich nur Imagepflege? Glauben Sie, dass sich dadurch das Bewusstsein der Anwender - sei es nun privat oder im Unternehmen - wirklich langfristig verändern lässt?
Köhler: Es ist eine Mammutaufgabe, aber es ist notwendig. Nehmen wir zum Beispiel die Problematik von Social-Networking-Sites für Schüler und Jugendliche und die damit verbundenen Probleme: Ohne über die diesen Angeboten innewohnenden Gefahren aufzuklären, ist eine eigenverantwortliche und sichere Nutzung nicht möglich. Oder die bei Jugendlichen außerordentlich beliebten Portale mit Inhalten der Nutzer: Findet mein erster potenzieller Arbeitgeber das Bild oder Video vom Oktoberfest mit meinem Namen, das ich als 16-jähriger cool finde, genauso cool? Sieht er es als Spaß oder ist es für ihn ein Grund, die Bewerbungsmappe zur Seite zu legen? Oder im Unternehmen: Sollte ich wirklich jeden USB-Stick, den ich von Unbekannten bekomme, einfach mal ausprobieren?
ZDNet: Durch Verbote lässt sich in diesen Fällen nichts erreichen - und durch Technologie ist ein präventiver Schutz ebenfalls nur schwer möglich.
Köhler: Deshalb muss es dem Anwender leicht gemacht werden, Sicherheit zu nutzen - wenn es kompliziert ist, wird es sich nicht auf breiter Basis durchsetzen. Am besten, es fällt ihm gar nicht auf. Das ist zum Beispiel bei Vista mit Windows Card Space so: Statt Benutzername und Passwort einzugeben wird eine virtuelle Karte gezückt – die natürlich eine deutlich umfassender Sicherheit bieten kann, angefangen bei Zertifikaten bis zur Durchsetzung von Richtlinien. So könnte etwa eine Bank verlangen, dass zusätzlich eine Smartcard benutzt wird. Eine erste Anwendung in Deutschland, die gerade vorbereitet wird, ist der Otto-Shop.
Im Unternehmen intern übernimmt der Identity Lifecycle Manager 2007 eine vergleichbare Funktion: Er regelt die Ausgabe und Verwaltung von digitalen Zertifikaten. Auch dadurch wird die Umsetzung von Sicherheitsrichtlinien wieder stark vereinfacht - was im Hintergrund abläuft, stört den Anwender nicht bei seiner Arbeit.
ZDNet: Unauffällige Sicherheitsmechanismen - das würde bedeuten, dass sie im Verborgenen ablaufen. Da kommen bei vielen Anwendern doch sofort Bedenken auf, sie würden ausspioniert.
Köhler: Wir hatten diese Diskussion ja schon mit unserem Update-Service. Daher wurde der Windows Software Update Service (WSUS) vom Datenschutzzentrum Schleswig-Holstein intensiv auf die Einhaltung von Datenschutz geprüft. Bevor wir den Stempel dann bekamen, waren durchaus Änderungen notwendig - aber wir haben diese vorgenommen. Außerdem ist ein Datenschutzsiegel auf europäischer Ebene in der Diskussion - an der wir uns auch aktiv beteiligen. Diese Bedenken sind zwar noch da, sie sind aber mit Sicherheit unbegründet.
 |
| Tom Köhler, Director IT-Security Strategy & Communication bei Microsoft Deutschland: "Anwendern muss es leicht gemacht werden, Sicherheit zu nutzen" |
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = https:/
[15] = http:/