Von: Dr. Johannes Wiele
Vor allem von Seiten der Linux- und Unix-Anwender musste sich Microsoft lange Zeit immer wieder den Vorwurf gefallen lassen, unsichere Produkte zu liefern. Bei Hackern ist die Software des Windows-Herstellers ein beliebtes Ziel. Zugleich strebt das Unternehmen aber den Status eines Infrastruktur-Lieferanten für E-Business-Prozesse an, den es nur erreichen kann, wenn die Kunden seinen Produkten vertrauen. Vor diesem Hintergrund hat sich Microsoft nun dem branchenweiten Trend angeschlossen, die Sicherheit der weltweiten IT-Landschaften zu erhöhen. Die Maßnahmen des Unternehmens im Rahmen des "Strategic Technology Protection Program" erstrecken sich auf vier Bereiche:
- Mehr Achtsamkeit bei der Softwareproduktion
- Erweiterter Service im Bereich Sicherheit
- Verbesserung der Sicherheitsfunktionen in den Produkten
- Verständliche Sicherheitsinformationen für jeden Anwender
Der erste Punkt ist durchaus beachtenswert. Microsoft gibt damit indirekt zu, dass es beim bisherigen Software-Produktionsprozess Qualitätsmängel gegeben habe, und dass falsch gesetzte Schwerpunkte eine Ursache für Sicherheitsprobleme der Kunden gewesen sein könnten. Damit reagiert das Unternehmen auf Kritik, die vor allem von Sicherheitsexperten aus den USA in den vergangenen Monaten vehement vorgetragen wurde. Mich Kabay und Bruce Schneier etwa heben immer wieder hervor, welche Rolle Softwaremängel als Quelle von Sicherheitsrisiken im Internet und in den Unternehmensnetzen spielen, während der größte Teil aller Security-Diskussionen um Ha-cker, "Innentäter" und Spionage kreist und die Infrastrukturprodukte sowie die Applikationen als eigene Risikoquellen kaum beachtet.
"Es gab schon immer Manager bei Microsoft, die sich für einen höheren Stellenwert der Sicherheitsaspekte bei der Softwareproduktion einsetzten", sagt nun beispielsweise Thomas Baumgärtner, Unternehmenssprecher bei Microsoft Deutschland, "aber sie konnten sich vor allem dann gegen das Marketing nicht durchsetzen, wenn Veröffentlichungstermine einzuhalten waren." In Zukunft sei das Verhältnis anders, da Bill Gates der Sicherheit Top-Priorität eingeräumt habe.
Dieses Bekenntnis scheint mehr als ein Marketingtrick zu sein, denn plötzlich kümmern sich in Deutschland beispielsweise Ingo Blunck, Director Geschäftskundenbetreuung, Gerd Olsowsky-Klein, Director Services, Roland Zeitler, System Engineer und Sascha Hanke, technischer Windows-Produktmanager um das Thema Sicherheit.
Auf der praktischen Seite hat Microsoft nach eigenen Auskünften derzeit allen Entwicklern Weiterbildungsmaßnahmen im Programmieren von sicherer Software zur Pflicht gemacht und sämtliche laufenden Projekte kurzfristig unterbrochen, um den Lernprozess in Gang zu bringen. Zum Teil werden die Schulungsmaßnahmen im E-Learning-Verfahren durchgeführt. Darüber hinaus setzt das Unternehmen verstärkt auf Code-Analysesysteme, die typische, "unsichere" Quelltextmuster erkennen - beispielsweise solche, die auf mögliche Buffer-Overflow-Fehler hinweisen. Dem Unternehmen zufolge kommen auf jeden Programmierer bis zu vier Personen, die die Qualität des von ihm geschriebenen Quelltextes überprüfen, und bis zu 20 Tester. Begonnen hatten diese Maßnahmen mit der "Secure-Windows-Initiative" im vergangenen Jahr, nach deren Prinzipien zurzeit Windows-2000-Service-Pack 3 programmiert wird. Anwender müssen nun darauf warten, wie sich die neue Direktive auswirkt.
Dienstleistungen mit mehr Kompetenz
Microsoft geht davon aus, dass ein großer Teil der Sicherheitsproblematik auch mit Informationsdefiziten bei den Anwendern zu tun hat. "Unsere Produkte sind auch heute schon sicher, wenn man sie richtig konfiguriert und mit Patches und Hotfixes aktuell hält", lautet die Devise. Tatsächlich bestätigen auch unabhängige Sicherheitsexperten, dass Hacker immer häufiger Sicherheitslücken in Un-ternehmensnetzen ausnutzen, die längst bekannt sind und abgestellt sein könnten. Die Pflege der Systeme scheitert in vielen Fällen am zeitlichen Aufwand, den ein Administrator betreiben muss, um sich über alle Lücken und Gegenmaßnahmen zu informieren.
Der Hersteller will nun mehr Servicekompetenz und -ressourcen aufbauen, um seinen Kunden bei Sicherheitsfragen zur Seite stehen zu können. Konkret sollen bereits die technischen Account-Manager und Außendienstmitarbeiter Sicherheitsthemen ansprechen, und es wird zertifizierte Security-Partner mit nachgewiesenem Know-how auf diesem Gebiet geben.
Weitere Angebote des Herstellers sind kostenloser Produktsupport für Virenfragen und eine Reihe von Security-Tools, bei denen es sich allerdings größtenteils um optimierte Versionen bereits bekannter Werkzeuge handelt, auf die Microsoft die Anwender nun aktiv aufmerksam machen will. In diese Kategorie gehören wahrscheinlich auch die so genannten "Roll-Up-Packages", die innerhalb der nächsten Tage als umfassende, in einem einzigen Durchgang installierbare Sicherheits-Updates für Microsoft-Produkte verteilt werden sollen. Aufgrund der verbreiteten Probleme mit unbedacht installierten oder konfigurierten Microsoft- Internet-Information-Servern weist der Hersteller besonders auf sein Lockdown-Tool für dieses Produkt hin, mit dem Administratoren die Gefahr beseitigen können. Fachleute warnen allerdings davor, das Werkzeug unüberlegt einzusetzen: Es kann auch Dienste beinträchtigen, die im Netz benötigt werden. Insgesamt wird das beschriebene Maßnahmepaket nur dann von Nutzen sein, wenn Microsoft Wege für eine intensive, schnelle und weitgehend marketingfreie Kommunikation mit den Kunden findet, die sich nicht nur auf die neuesten Produkte erstreckt.
Aufklärung als Schwerpunkt
Microsoft will seine Produkte nicht mit neuen Sicherheitsfunktionen ausrüsten, sondern die vorhandenen Features verbessern. Im Netzwerkumfeld will das Unternehmen den Aufbau von PKI-Infrastrukturen mit dem Verzeichnisdienst "Active Directory" im Zentrum propagieren. Der Internet-Security- and Acceleration-Server (ISA) als Nachfolger des Proxy-Servers wird optimiert, und im ".Net"-Bereich entwickelt das Unternehmen die PKI-Funktionen weiter. So gibt es für die .Net-Infrastruktur beispielsweise separate PKI-Rollen wie den "Service Manager", "Certificate Manager" und "Auditor" bei der Zertifikatverwaltung.
Der aus Sicht von Microsoft wichtigste Punkt im neuen Sicherheitskonzept ist die Verbesserung der Anwenderinformation. Vom technisch unbedarften Home-Anwender bis zum ausgefuchsten Administrator soll jeder Kunde auf ihn zugeschnittene Informationen über Sicherheitsprobleme abrufen können, und auch die Konfigurationsmethoden sollen in Zukunft vom einfachen Dreistufenschema nach Art des Internet-Explorers bis hin zur detaillierten Feintuning-Konsole für Spezialisten reichen. Eine wichtige Rolle werden "INF"-Dateien für Sicherheitsmodelle spielen, die es den Anwendern erlauben, Produkte mit vorgefertigten Security-Regeln zu installieren. Mit diesen Maßnahmen hofft der Hersteller auch Fehlerfallen zu entgehen, wie beispielsweise einem jüngst erfolgten XP-Rollout: Voller Begeisterung über die eingebauten Personal-Firewall-Funktionen schalteten fast alle User dieses Modul an - und zwar mit höchstem Sicherheitsniveau - und schon fand der Administrator seine eigenen Clients nicht mehr im Netz.
Auf dem Sektor "Webinformation" verspricht das Unternehmen, bisher verstreute Wissensdatenbanken und Informationsquellen in Zukunft besser zu strukturieren und mehr Querverbindungen her-zustellen. Anwender kritisieren, dass sie sich vor allem bei Infos zu älteren Problemen oft mühsam durch die Historien diverser Hotfixe, Patches und Updates kämpfen müssen, bis sie die richtigen Einstellungen für ihre Software kennen. Die von Microsoft wiederholt vorgetragene Überzeugung, Information und Schulung der Mitarbeiter sei der Königsweg zu mehr Sicherheit im Unternehmensnetz, stützt sich auch auf praktische Erfahrung im Konzern selbst. Die deutschlandweite IT-Zentrale kann etwa allen Angestellten eine Virenwarnung mündlich auf die Anrufbeantworter schicken, sodass die meisten Mitarbeiter schon vor dem Start ihres PCs am Morgen wissen, mit welchen Attachments sie angesichts aktueller Bedrohungen vorsichtig umgehen sollten. Die Erkenntnis, dass IT-Sicherheit nicht nur ein netzinternes technisches Problem ist, müssen sich viele Unternehmen erst erarbeiten.