Wir brauchen Microsofts Sicherheits-Initiative

Die Entwickler, die sich auf den Sicherheits-Veranstaltungen drängten, waren sich da nicht ganz so sicher. Einige, mit denen ich gesprochen habe, waren eher zynisch und sprachen von einem Strohfeuer. Andere zweifelten einfach daran, dass Microsoft selbst bei gutem Willen viel an der Situation ändern kann. „Das Problem besteht in der großen Zahl von Anwendern, die über Microsoft-Produkte mit dem Internet verbunden sind“, sagte einer. „Dieser Riesenzahl an Leuten wird man nicht von heute auf morgen ein Sicherheitsbewusstsein einimpfen können.“

Andererseits gibt es bei Microsoft Leute, die überzeugt sind, dass sich Microsoft jetzt wirklich die Sicherheit auf die Fahnen geschrieben hat. „Wir müssen dabei branchenführend werden“, sagte Steve Adler, ein Senior Platform Consultant für Microsoft .NET, der die Trustworthy Computing Initiative in Europa, dem Mittleren Osten und Afrika leitet. „Wir müssen Anführer einer Sicherheits-Initiative für die gesamte Branche sein.“

Eine solche Aussage dürfte außer auf der Tech Ed, wo das Microsoft-Logo auf allem prangt, überall zu Heiterkeitsausbrüchen führen.

Aber je länger ich darüber nachdenke, desto mehr komme ich zu der Auffassung, dass Adler recht hat. Man mag es drehen und wenden, wie man will: Die Internet-Welt ist auf Microsoft angewiesen, um den Sicherheitsstandard zu verbessern, auch wenn es Microsoft selber war, dem wir die ganze Misere überhaupt verdanken.

Ich will das erklären:

Die Grenze zwischen Sicherheit und Benutzbarkeit ist schon immer eine Gratwanderung gewesen. Wenn etwas zu leicht zu benutzen ist, ist auch der Missbrauch zu einfach. Sicherheit ist eine komplexe Sache und damit ein Hindernis für zügiges Arbeiten. Da führt kein Weg dran vorbei.

In den Anfangszeiten des Internets gab es nur wenige Benutzer. Diese waren technisch versiert genug, um auf die Sicherheit zu achten. Und überhaupt vertraute man einander sowieso. Eine Menge von Firmen – allen voran Microsoft, ob es einem gefällt oder nicht – hat das Internet benutzerfreundlicher gemacht. Und damit auch unsicherer, ganz automatisch.

Um für mehr Sicherheit zu sorgen, muss man Hindernisse aufbauen für Leute, die unsichere Dinge tun wollen. Und Hindernisse jeder Art (außer wirtschaftlichen) kamen bislang für Microsoft überhaupt nicht infrage. Bis (hoffentlich) jetzt.

Heute treiben sich Massen von Leuten im Internet herum, die keine Ahnung von Sicherheit haben oder je haben werden. Um das Internet auch für diese Leute sicherer zu machen und natürlich auch für uns, muss jemand das Unmögliche möglich machen – die Quadratur des Kreises. Jemand muss Sicherheit benutzerfreundlich machen und Benutzerfreundlichkeit sicher.

Bislang habe ich nicht viel Hoffnung auf großartige Ergebnisse. Aber ich denke, es ist eine gute Sache, wenn von dem zunehmenden Sicherheitsbewusstsein, wie man es derzeit außerhalb von Microsoft findet, etwas auf die Firma abfärbt und sich in benutzerfreundlichen Assistenten und Tools manifestiert.

So etwas wie Microsofts Baseline Security Analyzer, der Anwendern hilft, die gängigsten Sicherheitslücken zu stopfen, ist eine gute Sache – der IIS Lockdown Wizard, der einige Hintertüren von Microsofts Web Server verschließt, eine weitere.

Windows Update – ein Versuch, die Installation von Sicherheits-Patches für Windows XP zu automatisieren – war keine so gute Idee. Denn Unternehmen waren nicht besonders erpicht, irgend jemandem Zugang zu allen Desktops zu geben, um Software-Patches zu installieren (selbst nicht so jemand Vertrauenswürdigem wie Microsoft). Inzwischen ist die Technik verbessert worden, so dass Unternehmen jetzt erst einen Blick auf die Patches werfen können, um sie dann selbst zu installieren.

Am Ende wird man als positives Ergebnis am ehesten auf ein erhöhtes Sicherheitsbewusstsein bei den Anwendern hoffen dürfen. Wenn Anwender von Microsoft hören, dass Sicherheit wichtig ist und einfach umzusetzen (und Microsoft würde es nie wagen zu behaupten, eine Sache sei nicht einfach), dann fangen sie vielleicht an, sich mit Zuversicht selbst um das Thema zu kümmern.

Selbst wenn Microsofts Sicherheits-Initiative nur ein Strohfeuer sein sollte, würde schon die Tatsache ihrer Existenz für entsprechende Nachfrage sorgen. Microsoft sorgt für besser informierte Anwender und Entwickler, die Ergebnisse sehen wollen. Und diese wird es früher oder später geben.