Microsoft: Deutliche Worte zum Thema Sicherheit

Sicherheit der Technologie
Die Technologie selbst spielt bei der Initiative eine Hauptrolle. Die Secure-Windows-Initiative ist ein Bestandteil des vorjährigen Vorstoßes von Microsoft auf dem Gebiet der Sicherheit, dem sog. „War on hostile Code“, der im April 2001 ausgerufen wurde. „Wir gewährleisten, dass die Qualität so hoch wie möglich ist“, so Adler.

Gemäß den diesjährigen Vorgaben werden die Programm-Codes jedes Produkts einer obligatorischen Sicherheitsprüfung unterzogen, deren Kosten sich im Fall des .NET-Servers auf die veröffentlichte Summe von 100 Millionen US Dollar aufgrund verzögerter Lieferung belaufen. „Wir haben intensiv an dem Prozess gearbeitet, wobei wir interne und externe Überprüfungen sowie Entwicklungsrevisionen durchführen ließen“, teilte Adler mit. Visual Studio .NET wurde z.B. vom kalifornischen Sicherheitsspezialisten Foundstone überprüft, wodurch es zum Entwurf einer neuen Standard-Sicherheitsrichtlinie kam, die in das Service Pack for Visual Studio .NET integriert wurde, das im Mai freigegeben wurde.

Schulung der Nutzer
Ein weiterer wichtiger Faktor ist jedoch der Schutz der bestehenden Produkte und die Anleitung der Nutzer, an die Sicherheit zu denken. „Wir sind bestrebt, eine sicherere Nutzung zu ermöglichen“, so Adler.

„Auf Windows-Servern ist IIS z.B. nicht standardmäßig installiert.“ Das standardmäßige Einschalten des Webservers erleichterte den Nutzern die schnelle Einrichtung von Servern, führte aber zu zahlreichen Schwachstellen (z.B. in Verbindung mit ASP) bei Sites, in denen die Nutzer nicht erkennen können, dass IIS installiert ist. „Man muss diese Funktionen jetzt ausdrücklich aktivieren“, so Adler. „Wir könnten in die Schusslinie einiger Unternehmen geraten, wenn wir die Erkennbarkeit erschweren; der Vorteil ist jedoch, dass die Nutzer ihre Systeme nicht gefährden.“

Das Update-Tool von Windows, das im System XP eingeführt wurde, sollte sicherstellen, dass Nutzersysteme automatisch mit Sicherheits-Updates ausgestattet werden, stieß aber auf Widerstand in Unternehmen, in denen man nicht wünschte, dass die Kontrolle über Sicherheits-Updates in die Hände eines externen Betreibers gelegt wird. Bei Microsoft hat man seitdem ein System für IT-Manager von Unternehmen eingerichtet, mit dessen Hilfe sie Software-Updates in ihre Netzwerke einführen und verteilen können, wobei geprüft wird, ob die Aktualisierungen mit den Unternehmenssystemen zusammenarbeiten: „Der Software-Update-Service trägt dazu bei, dass die Unternehmen den Aktualisierungsprozess automatisieren und ihre Systeme schützen können.“

Der Kernpunkt scheint darin zu liegen, die Sicherheit nutzbar zu machen – indem die Themen so in der Öffentlichkeit dargestellt werden, dass die breite Masse der Nutzer sie verstehen und sicher damit arbeiten kann. Weitere Fragen betreffen u.a. Schulungsprogramme und Zertifizierung. „Es wird ein sicherheitsorientiertes Zertifizierungsprogramm geben“, teilte Adler mit.