Mehr Sicherheit durch bessere Information

Das Thema "IT-Sicherheit" gehörte bisher nicht zu den Stärken von Microsoft. Jetzt rückt das Unternehmen das Thema plötzlich in den Mittelpunkt. Mit einem anwenderzentrierten Konzept will der Windows-Hersteller seine Produkte vertrauenswürdiger machen.

Von: Dr. Johannes Wiele

Vor allem von Seiten der Linux- und Unix-Anwender musste sich Microsoft lange Zeit immer wieder den Vorwurf gefallen lassen, unsichere Produkte zu liefern. Bei Hackern ist die Software des Windows-Herstellers ein beliebtes Ziel. Zugleich strebt das Unternehmen aber den Status eines Infrastruktur-Lieferanten für E-Business-Prozesse an, den es nur erreichen kann, wenn die Kunden seinen Produkten vertrauen. Vor diesem Hintergrund hat sich Microsoft nun dem branchenweiten Trend angeschlossen, die Sicherheit der weltweiten IT-Landschaften zu erhöhen. Die Maßnahmen des Unternehmens im Rahmen des "Strategic Technology Protection Program" erstrecken sich auf vier Bereiche:

- Mehr Achtsamkeit bei der Softwareproduktion

- Erweiterter Service im Bereich Sicherheit

- Verbesserung der Sicherheitsfunktionen in den Produkten

- Verständliche Sicherheitsinformationen für jeden Anwender

Der erste Punkt ist durchaus beachtenswert. Microsoft gibt damit indirekt zu, dass es beim bisherigen Software-Produktionsprozess Qualitätsmängel gegeben habe, und dass falsch gesetzte Schwerpunkte eine Ursache für Sicherheitsprobleme der Kunden gewesen sein könnten. Damit reagiert das Unternehmen auf Kritik, die vor allem von Sicherheitsexperten aus den USA in den vergangenen Monaten vehement vorgetragen wurde. Mich Kabay und Bruce Schneier etwa heben immer wieder hervor, welche Rolle Softwaremängel als Quelle von Sicherheitsrisiken im Internet und in den Unternehmensnetzen spielen, während der größte Teil aller Security-Diskussionen um Ha-cker, "Innentäter" und Spionage kreist und die Infrastrukturprodukte sowie die Applikationen als eigene Risikoquellen kaum beachtet.

"Es gab schon immer Manager bei Microsoft, die sich für einen höheren Stellenwert der Sicherheitsaspekte bei der Softwareproduktion einsetzten", sagt nun beispielsweise Thomas Baumgärtner, Unternehmenssprecher bei Microsoft Deutschland, "aber sie konnten sich vor allem dann gegen das Marketing nicht durchsetzen, wenn Veröffentlichungstermine einzuhalten waren." In Zukunft sei das Verhältnis anders, da Bill Gates der Sicherheit Top-Priorität eingeräumt habe.

Dieses Bekenntnis scheint mehr als ein Marketingtrick zu sein, denn plötzlich kümmern sich in Deutschland beispielsweise Ingo Blunck, Director Geschäftskundenbetreuung, Gerd Olsowsky-Klein, Director Services, Roland Zeitler, System Engineer und Sascha Hanke, technischer Windows-Produktmanager um das Thema Sicherheit.

Auf der praktischen Seite hat Microsoft nach eigenen Auskünften derzeit allen Entwicklern Weiterbildungsmaßnahmen im Programmieren von sicherer Software zur Pflicht gemacht und sämtliche laufenden Projekte kurzfristig unterbrochen, um den Lernprozess in Gang zu bringen. Zum Teil werden die Schulungsmaßnahmen im E-Learning-Verfahren durchgeführt. Darüber hinaus setzt das Unternehmen verstärkt auf Code-Analysesysteme, die typische, "unsichere" Quelltextmuster erkennen - beispielsweise solche, die auf mögliche Buffer-Overflow-Fehler hinweisen. Dem Unternehmen zufolge kommen auf jeden Programmierer bis zu vier Personen, die die Qualität des von ihm geschriebenen Quelltextes überprüfen, und bis zu 20 Tester. Begonnen hatten diese Maßnahmen mit der "Secure-Windows-Initiative" im vergangenen Jahr, nach deren Prinzipien zurzeit Windows-2000-Service-Pack 3 programmiert wird. Anwender müssen nun darauf warten, wie sich die neue Direktive auswirkt.