Sicheres Windows – hat Bill Gates zu viel versprochen?

Man muss Microsoft zugute halten, dass bei der Windows-Entwicklung konsequent der Sicherheitsaspekt über den Profitgedanken gestellt wurde. So hatte das Unternehmen zu Beginn des vergangenen Jahres seine Produktentwicklung in erheblichem Ausmaß gestoppt, um ca. 8.500 Entwickler zunächst zum Thema sichere Programmierung zu schulen und sie dann zur Überprüfung eines Großteils des Windows-Codes einzusetzen. Dieses Vorgehen kostete Unternehmensvertretern zufolge um die 100 Millionen US-Dollar.

Michael Howard, Senior Program Manager und Sicherheitstrainer für die internen Entwicklungsmitarbeiter, ist der Meinung, dass sich die Schulungsmaßnahmen ausgezahlt haben.

„Um festzustellen, ob wir Fortschritte machen, sehe ich mir den (in die Quellcode-Datenbank) wiedereingefügten Code an“, so Howard. „Wenn Sicherheitslücken wiedereingefügt werden, haben wir unseren Job nicht richtig gemacht. Bislang wurden im überprüften Code für .Net Server keine Bugs übersehen.“

Die Mitarbeiter gehen nach Ansicht von Jonathan Schwartz, Software Design Engineer for Windows Security bei Microsoft, nun ganz anders mit dem Sicherheitspersonal des Unternehmens um. Denn früher habe man die Sicherheitsexperten häufig wie Wesen von einem anderen Stern betrachtet.

„Wir wussten höchstens, was ein Puffer-Überlauf war und riefen in solchen Fällen auch laut um Hilfe“, sagte Schwartz. Mittlerweile erlebt das Sicherheitsteam genau das Gegenteil: Mehr Benutzer weisen auf Sicherheitslücken hin, von denen viele relativ unbedeutend sind.

Solche Veränderungen bleiben außerhalb des Unternehmens weitgehend unbemerkt. Die Anzahl der von Microsoft veröffentlichten Sicherheitshinweise stieg 2002 auf 72, gegenüber 60 im Jahr 2001. Dennoch seien solche Zahlen kein echter Maßstab für die Vorgänge bei Microsoft, meinte John Pescatore, Research Director for Internet Security beim Marktforschungsunternehmen Gartner.

„Das entscheidende Kriterium ist die Frage, ob Microsoft auch bei seinen Produktlinien eine andere Strategie anwendet“, so Pescatore. „Und in diesem Punkt sehe ich echte Veränderungen.“

Die erste echte Feuerprobe wird der Software-Riese im April erleben, wenn Windows Server 2003 – vormals Windows .Net Server genannt – ausgeliefert wird. „Wenn .Net Server auf den Markt kommt und die Benutzer erstmals in der Praxis damit arbeiten, werden wir Bescheid wissen“, sagte Pescatore.

Michael Howard von Microsoft dämpfte jedoch bereits die Erwartungen hinsichtlich eines Servers ohne Fehler. „Ich benutze den Vergleich zwar nicht gern, doch ähnelt die Situation der Abwehr von Terroristen“, so Howard. „Wir dürfen nichts übersehen, aber der Angreifer muss nur eine einzige Schwachstelle finden.“

Doch zumindest ein Microsoft-Kunde ist mit den Fortschritten des Unternehmens zufrieden:

„Von dem Moment an, als Microsoft seinen Nachholbedarf im Bereich der Sicherheit eingestand, war das Programm bereits ein Erfolg“, sagte Robert W. McLaws, President des in Mesa, Arizona, ansässigen Unternehmens Interscape Technologies. „Ein altes Sprichwort sagt: ,Wo ein Wille ist, ist auch ein Weg‘. Wenn Microsoft ein Problem angehen (und dafür Geld ausgeben) will, wird dieses in 9 von 10 Fällen auch gelöst.

Microsoft hat bei der Behebung vorhandener Schwachstellen gute Arbeit geleistet, und seine neuen Sicherheitsmodelle, z.B. mit (dem Webserver) IIS6, sind erstklassig. Trotzdem bleibt noch viel zu tun. Das Unternehmen muss eine lange Tradition lascher Sicherheitsstrategien wiedergutmachen.“