Microsoft lässt Regierungen kontrolliert in den Quellcode blicken

Microsoft hat in Brüssel ein so genanntes Transparency Center eröffnet. Hier können Interessierte Einblick in den Windwos-Quellcode sowie in technische Dokumentationen nehmen. Damit will Microsoft mehr Vertrauen bei den Beschaffern in staatlichen Behörden erzeugen, die in Hinblick auf den Schutz von kritischen Infrastrukturen zunehmend höhere Sicherheitsanforderungen stellen. So sollen etwa in Deutschland auf Basis des IT-Sicherheitsgesetzes die betroffenen Branchen gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Mindestsicherheitsstandard vereinbaren. Das Gesetz wird derzeit im Bundestag beraten.

Ein erstes Transparency Center hatte Microsoft vergangenes Jahr in Redmond eröffnet. Die Einrichtung in Brüssel lädt die Teilnehmer von Microsofts "Government Security Program" ein, den Source Code "zu überprüfen und zu bewerten". Inzwischen gehören 42 Behörden aus 23 Regierungen dem Programm an, darunter auch das BSI.

Einblick nur im Transparency Center

In Deutschland muss laut Paragraph 11 Bundesdatenschutzgesetz der Auftraggeber eine absolute Kontrollmöglichkeit über die Datenverarbeitung haben, die der Auftragnehmer vornimmt. Datenschützer beziehen dies auch auf das Betriebssystem und seine Updates. Die Kontrollmöglichkeit muss zumindest theoretisch gegeben sein.

Die Räumlichkeiten des Transparency Center sollen für die Teilnehmer aber die einzige Möglichkeit bleiben, den Quellcode einzusehen. Die Einsicht erfolgt unter kontrollierten Bedingungen. So werden etwa die Räume mit mehreren Videokameras und "weiteren Sicherheitsmaßnahmen" überwacht, erklärt ein Microsoft-Sprecher gegenüber heise online, "um sicherzustellen, dass unser geistiges Eigentum und unsere Informationen geschützt und sicher sind".

Die Sicherheitsexperten der Regierungen sollen alle möglichen "statischen und dynamischen Tools" zur Analyse einsetzen dürfen, wobei Microsoft diese zuvor kontrolliert. Falls die Sicherheitsexperten dann Fehler und Schwachstellen finden, will Microsoft darauf "unmittelbar" reagieren können.

Experten sind sich aber unsicher darüber, ob die geprüfte Version derjenigen entspricht, die später zum Einsatz kommt. Microsoft verweist hier nur auf eine eigene "Methodik", die Regierungen eine "genügende Zusicherung" geben soll. Ob so die durchaus verbreitete Sorge vor möglicherweise eingebauten Backdoors des FBI oder der NSA beseitigt werden kann, ist offen.

System zu komplex

Inzwischen gelten herkömmliche Zertifizierungen des kompletten Betriebssystems etwa nach Common Criteria organisatorisch wie technisch als undurchführbar. Vor zehn Jahren konnte noch eine EAL4+-Zertifizierung von Windows-Servern durchgeführt werden. Das heißt, die Zertifizierer hatten hierfür auch Einblick in den Quellcode.

Eine Zertifizierung der neuen Windows-Versionen 8 und 10 nach Common Criteria EAL4+ hält das BSI inzwischen für unmöglich, da das System mittlerweile zu komplex ist. Nur noch einzelne Aspekte oder Konfigurationen könnten überprüft werden. Diese müssten jedoch dem späteren Einsatzszenarium entsprechen, um einen tatsächlichen Mehrwert zu bieten. Ein weiteres Problem für Windows 10 besteht darin, dass es keine finalen Releases mehr geben wird. Dies bedeutet, dass jede kleine Änderung überprüft werden müsste, was als nicht machbar angesehen wird.

Das BSI "begrüßt" jedoch die Microsoft-Initiative und mahnt gleichzeitig an: "Damit hierbei ein begründetes Vertrauen entstehen kann, sind jedoch umfangreiche fachliche Voraussetzungen zu erfüllen, um gegebenenfalls vorgenommene Prüfungen nicht oberflächlich und wenig aussagekräftig bleiben zu lassen." Diese Voraussetzungen diskutiere die Behörde im bestehenden fachlichen Austausch mit Microsoft sowie weiteren großen IT-Herstellern. (anw)