Microsoft erhält Datenschutz-Gütesiegel für Update-Services
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat dem Softwaregiganten eine Zertifizierung für zwei Windows-Update-Dienste erteilt, die allerdings nicht von allen Sicherheitsexperten begrüßt wird.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat Microsoft am heutigen Freitag ein Gütesiegel für die beiden Dienste "Microsoft Update Service 6.0" und "Windows Server Update Service 2.0" verliehen. Die beiden Programme dienen dazu, unter Windows XP beziehungsweise Windows Server laufende Rechner einfacher und effizienter mit aktuellen Updates zu versorgen. Dadurch kann auch das Stopfen von Löchern in den beiden Microsoft-Betriebssystemen bei IT-Umgebungen in Unternehmen automatisiert werden. Die beiden Komponenten verhindern, dass unautorisierte Software eingespielt wird und personenbezogene oder firmeninterne Daten übermittelt werden, ohne dass der Nutzer dies steuern kann.
Mit den Windows Server Update Services installiert man im eigenen lokalen Netz einen Update-Server, der die Verteilung von Microsoft-Updates wesentlich erleichtert. Der WSUS-Server lädt alle Microsoft-Updates aus dem Internet und hält diese Sammlung lokal vor. Administratoren können anschließend im Detail festlegen, welche ihrer lokalen Windows-PCs welche Updates einspielen sollen. Die Server-Software führt zudem Buch darüber, welche Maschinen mit bestimmten Patches versorgt sind. Auf den Ziel-PCs muss keine weitere Software installiert werden, als Client-Software dient derselbe Systemdienst für automatische Updates, der normalerweise mit Microsofts Update-Servern im Internet Kontakt aufnimmt.
Für die feierliche Zeremonie zur Verleihung des Gütesiegels für die Update-Dienste in der schleswig-holsteinischen Landesvertretung in Berlin hatte der Softwaregigant Politprominenz geladen. Die feierliche Übergabe des Gütesiegels nahm der Ministerpräsident Schleswig-Holsteins, Peter Harry Carstensen (CDU), vor. Er sprach von einer "Premiere, die ihresgleichen sucht". Es sei "für uns eine große Bestätigung und Motivation zugleich, dass ein großer Weltkonzern wie Microsoft Wert legt auf dieses Zertifikat". Die Redmonder selbst hatten ihren Konzerndatenschutzbeauftragten, Peter Cullen, genauso geschickt wie seinen Kollegen von Microsoft Deutschland, Dominik Stockem, und Dorothee Belz aus der Geschäftsführung. Cullen kündigte bei der Annahme des Preises an, dass Microsoft zusätzlich zu aufwändigen internen Prozessen und Prüfungen hinsichtlich des Datenschutzes auch künftig externe Zertifizierungen und Prüfungen durchführen lassen werde.
Zuvor hatten die beim ULD anerkannten Prüfstellen TÜV Informationstechnik GmbH (TÜViT) und 2B Secure die beiden Update-Dienste auf Herz und Nieren getestet und befunden, dass diese die Anforderungen an Datenschutz und Datensicherheit der renommierten Behörde in Schleswig-Holstein erfüllen. Der Bundesdatenschutzbeauftragte Peter Schaar lobte Sicherheitszertifikate und Gütesiegel bei der Feierstunde allgemein als gute Möglichkeit für Anbieter, "ihre Sicherheits- und Datenschutzfunktionen schon vor der Produktentwicklung festzulegen und für alle nachprüfbar zu dokumentieren". Mit der unabhängigen Prüfung werde es Nutzern bereits bei der Beschaffung neuer Produkte möglich, kontrollierbare Sicherheitsanforderungen zu erkennen und Produkte zu vergleichen. Bei der Nutzung von Hard- und Softwareprodukten müssten sich Anwender ohne Einschränkungen darauf verlassen können, dass diese sicher sind. Vertraulichkeit, Integrität und die Zurechenbarkeit der Daten seien zu gewährleisten.
Schaar nutzte die Zeremonie zugleich für einen Appell an den Gesetzgeber, "endlich die gesetzlichen Grundlagen für die Einführung eines bundesweiten Datenschutz-Audits zu schaffen." Entsprechende Zertifizierungsmöglichkeiten seien im Grundsatz im Bundesdatenschutzgesetz bereits vorgesehen. Eine entsprechende darauf aufbauende gesetzliche Regelung wäre für den Bundesdatenschutzbeauftragten "ein wichtiges Element für einen modernen, zukunftsorientierten Datenschutz und zugleich ein Beitrag zur Entbürokratisierung". Die Verleihung des Gütesiegels an Microsoft zeige einmal mehr, "wie groß der Bedarf hierfür ist". Der ULD-Leiter Thilo Weichert unterstrich ebenfalls, die Bedeutung von Datenschutz-Audits. Mit dem Siegel werde Datenschutz als Qualität für und im Wettbewerb ausgezeichnet. Mittlerweile habe das ULD seit Anfang 2003 über 35 Produkte zertifiziert.
Die Auszeichnung der Redmonder hat allerdings auch Kritiker auf den Plan gerufen. So vermisst Klaus Brunnstein, Präsident der International Federation for Information Processing und langjähriger Informatikprofessor an der Universität Hamburg, bei den Prüfern die erforderliche Weitsicht. "Ein Zertifikat allein für die Updatesoftware wäre dann angemessen, wenn diese tatsächlich eine isolierte Komponente wäre", erklärte der Sicherheitsexperte gegenüber heise online. "Das ist jedoch keineswegs der Fall, weil jedes Update im Kontext der 'upzudatenden' Software und der Basissysteme – also insbesondere des Betriebssystems – steht sowie unter dessen Kontrollen abläuft." Für die betroffenen Windows-Systeme hat Brunnstein etwa angesichts "exzessiver Protokollierung von Profilen" unter Einbeziehung sensitiver Nutzerdaten "erhebliche Bedenken" in puncto Datenschutzkonformität.
Der Informatiker hält ein derartiges Zertifikat für eine isolierte Funktion in einem nicht isolierbaren Umfeld daher für eine "Irreführung der Anwender". Denn zweifelsohne werde Microsoft das Gütesiegel werblich ausnutzen. Die Käufer könnten daraus möglicherweise den falschen Schluss ziehen, dass Microsoft-Produkte allgemein entsprechend den Anforderungen des ULD datenschutzgerecht seien. Zweifel hat Brunnstein auch an der Qualifikation des Gutachters, da dieser den Recherchen des Professors zufolge Mitarbeiter eines als Microsoft-Partners geführten Systemhauses ist. Insgesamt sei der Vorgang "bemerkenswert", da das ULD bisher einen guten Ruf gehabt habe und diesen nun mit der Zertifizierung aufs Spiel setze. (Stefan Krempl) / (jk)