Microsofts Zwischenfazit zur Sicherheit von Vista: Alles bestens

Nach Meinung von Microsoft hat das Unternehmen die Ankündigung, mit Vista das sicherste Windows aller Zeiten zu schaffen, in die Tat umgesetzt. Nach einem Jahr könne man sagen, dass die Sicherheit von Vista weit über der von XP liege. Ein Grund unter vielen sei die Einführung der Benutzerkontensteuerung (UAC), mit der Anwender endlich als normaler Benutzer ohne Administratorrechte angemeldet sein können, ohne ständig auf Beschränkungen zu stoßen. Sofern Administratorrechte notwendig sind, fragt Windows nach. Viren und Trojaner sollen sich so nicht in das System einnisten können.

Von den 23 für Vista in den vergangenen 12 Monaten herausgegebenen Sicherheitsupdates konnten laut Microsoft 12 aufgrund der UAC mit einer geringeren Wichtigkeit eingestuft werden, weil Schadcode bei einem Einbruch nicht mit Admin-Rechten gelaufen wäre. Nach den Erhebungen der Redmonder hat dies zu 60 Prozent weniger Infektionen mit Malware im Vergleich zu XP geführt.

Zudem soll der gesicherte Modus (Protected Mode) des Internet Explorer 7 Sicherheitsprobleme erfolgreich eingedämmt haben. Mit dem Phishing-Filter blockiere man derzeit pro Woche über eine Million Phishing-Angriffe auf die Benutzer des Microsoft-Browsers. Bei den Extended Validation SSL Certificates (EV SSL) sieht es indes nicht ganz so rosig aus: gerade einmal 3500 Anbieter nutzen diese erweiterten Zertfikate, dank derer sich die Adressleiste im Browser grün färbt, um eine besondere Vertrauenswürdigkeit einer Seite zu signalisieren. Bislang ist der Internet Explorer 7 der einzige Browser, der dies unterstützt. Die Open-Source-Alternative Firefox wird aller Wahrscheinlichkeit in Version 3 EV-SSL-Zertifikate auswerten.

Auch die Zahl der Patches scheint zu bestätigen, dass Vista sicherer ist und dass Microsofts Einführung des Security Development Lifecycles fruchtet: Während in den letzten 12 Monaten 23 Updates kritische Lücken in XP SP2 schließen mussten, gab es für Vista nur 14 Updates zu kritischen Lücken. Ohnehin offenbarte Vista mit 36 nur gut halb so viele Schwachstellen wie XP SP2 mit seinen 68 Löchern.

Trotz der offensichtlichen Vorteile bei der Sicherheit scheint sich Vista dennoch nicht so durchzusetzen, wie die Redmonder sich das wünschen. Die hohen Hardwareanforderungen sollen derzeit viele Anwender vom Kauf abhalten. Am Rande der Microsoft Hacker-Konferenz Blue Hat im Dezember 2007 stellte der unabhängige Sicherheitsspezialist Thomas Dullien fest, dass Sicherheit schwer zu verkaufen sei, da Anwender sie nicht messen könnten. Seiner Meinung nach sei Vista das am schwierigsten zu knackende Mainstream-Betriebssystem, das er bislang gesehen habe. Damit würde es für Kriminelle unattraktiv, da der Aufwand zu groß sei. Wäre er (Dullien) auf der dunklen Seite, würde er hoffen, dass Vista als Betriebssystem floppt – wo er Recht hat, hat er Recht.

Siehe dazu auch:

• Windows Vista Security One Year Later, Blogeintrag von Austin Wilson
• Windows Vista One Year Vulnerability Report , Analyse von Jeff Jones

(dab)