Trustworthy Computing - Gates zieht Bilanz

Microsoft-Gründer Bill Gates hat vor einem Jahr die Initiative Trustworthy Computing" ausgerufen und die Entwickler für 10 Wochen auf Fehlersuche geschickt. Nun zieht Gates in einer öffentlichen Mail Zwischenbilanz und gibt Ausblicke.

Es sei viel bewegt worden, im vergangenen Jahr, meint Bill Gates aber es gäbe auch noch viel zu tun. 200 Millionen US-Dollar seien allein in die Absicherung von Windows geflossen, berichtet Gates in einer so genannten Executive-Mail. Rund 8500 Entwickler seien in der zehnwöchigen Phase, in der nicht an der Weiterentwicklung des Codes gearbeitet wurde, zum Thema Sicherheit geschult worden. Dabei habe man versucht den Entwicklern im so genannten Thread Modelling Process beizubringen, wie ein Hacker zu denken. Die Hälfte aller während der Phase gefundenen Sicherheitsprobleme seien durch diese Methode gefunden worden, schreibt Gates. Vor einem Jahr hatte der Microsoft-Gründer das Thema Sicherheit zur Chefsache gemacht, wir berichteten.

Das Thema Sicherheit bekomme durch die zunehmende Vernetzung eine größere Bedeutung, glaubt der Microsoft-Gründer, und ist ebenso überzeugt davon, dass sich nur wenige Unternehmen diesem Umstand angepasst haben.

Microsoft hat sich sein Sicherheitsdenken in drei Gebiete unterteilt: Secure by Design, Secure by Default und Secure by Deployment. Secure by Design, darunter versteht Gates die Fehlersuche der Entwickler und eine Minimierung des sicherheitsrelevanten Codes aber auch das kommende Sicherheitskonzept mit dem Codenamen Palladium. Gates nennt als Beispiel für die Funktion von Palladium geschützte Speicherbereiche, in denen vertrauliche Informationen liegen. Es gelte, den kompletten Weg der Daten von der Tastatur zum Monitor abzusichern, inklusive aller dazwischenliegenden Speicherbereiche.

Unter Secure by Default versteht Microsoft das Deaktivieren von sicherheitskritischen Features. Bislang sei ein Features bei Auslieferung der Software auf enabled gestanden. Inzwischen habe ein Umdenken stattgefunden und die Default-Einstellungen seien in der Regel die sichersten. Gates nennt die standardmäßig deaktivierten Makros in Office XP als Beispiel.

Für den Punkt Secure by Deployment führt Gates diverse Tools zum Einspielen von Patches und Updates an, etwa den Systems Management Server 2.0. Außerdem wirbt Gates für den Einsatz von Smart Cards zur Sicherung von Passwörtern. Microsoft hat die Smart Card-Technologie im eigenen Hause für den Remote-Zugang eingeführt, schreibt Gates.

Dem Benutzer legt Gates ans Herz sich die aktuellen Patches (von Microsoft) zu besorgen, und Virenscanner und Firewalls zu verwenden. (uba)