Bill Gates: Sicherheit über alles

Ein Jahr nach seinem E-Mail-Aufruf an alle Untergebenen, für mehr Vertrauenswürdigkeit der Microsoft-Produkte zu sorgen, schildert der Microsoft-Gründer jetzt auch allen Kunden seine Überlegungen zum "Trustworthy Computing". Gates hat in seiner Mitteilung überwiegend Allgemeinplätze und bereits bekannte Fakten zu bieten. Zu den bevorstehenden Programmversionen Windows Server 2003, Office 11 sowie der Sicherheitsarchitektur Palladium gibt er nur spärlich Auskunft.

In der vollkommenen vernetzten Welt der Internet-Wirtschaft sei eine sichere Computer-Plattform das wichtigste, betont Gates. Die Sicherheitsrisiken hätten sich in einer Weise verstärkt, die kaum jemand in der Branche vorausgeahnt habe. Einem Bericht des FBI zufolge sind US-Unternehmen über 455 Millionen US-Dollar an Schäden durch Computer-Kriminalität entstanden. Dem stelle Microsoft Bemühungen um mehr Sicherheit im Wert von 200 Millionen Dollar entgegen. Mehr als 11.000 Entwickler seien eigens in sicherer Programmierung ausgebildet worden. Microsoft investierte zudem in ein kontinuierliches Training, das auch Kunden und externen Entwicklern angeboten wird.

Mit speziellen Angriffsteams simuliert Microsoft Bedrohungsszenarien ("Threat Model") für verschiedene Systemkomponenten. Teilweise sind dabei auch externe Spezialisten beteiligt, erklärt Mike Nash, Vizepräsident von Microsofts Security Business Unit. Die Experten versuchen dabei, Verschlüsselungen zu knacken, in geschützte Systeme einzudringen oder sie zu manipulieren. "Sie können sich denken, dass dabei verschärfte Geheimhaltungsvorschriften gelten", sagt Nash. Die Hälfte aller entdeckten Programm-Bugs sei während der Bedrohungsanalysen gefunden worden.

Ähnlich diskret geht Microsoft etwa bei der Offenlegung von Quellcodes gegenüber Regierungsstellen vor, wie etwa bei der Kooperation mit den USA, China und zuletzt Russland. Microsoft sehe die Notwendigkeit, externe Fachleute bei der Sicherheitsplanung mit einzubeziehen und wird dieses "Shared Source"-Verfahren noch ausdehnen, sagt Nash. Die Urheberrechte des Herstellers müssten dabei freilich geschützt bleiben.

Bei der Auslieferung von Windows Server 2003 wird Microsoft vorsorglich über 20 Funktionen und Services in der Werkseinstellung abschalten. Die Funktion des Internet Explorers wird ebenfalls per Voreinstellung eingeschränkt. Zu den wesentlichen Erweiterungen im Vergleich zu Windows 2000 soll ein besseres Identitätsmanagement, rollenbasierte Authorisierungen für Nutzer und eine integrierte Public-Key-Infrastruktur zählen. Ansonsten sei die höhere Skalierung das Hauptmerkmal des Server-Systems. Dazu kämen eine Reihe von Tools, um Installation und Inbetriebnahme zu erleichtern.

Palladium werde bedeutende Fortschritte in Bezug auf Integrität, Datenschutz und Datensicherheit bringen, rühmt Gates in seinem Memorandum. Microsoft hat bereits zuvor dargestellt, dass Speicherbereiche für bestimmte Anwendungen abgeriegelt werden und nur für zertifizierte Komponenten zugänglich sind. Welche Prüftechniken für Identität und Authentizität dabei eingesetzt werden, ist noch weitgehend Spekulation. Auch Gates macht hierzu keine Angaben.

Bis dieser sorgenfreie Umgang mit Computernetzen erreicht ist, wird Microsoft den Kunden wohl weiter mit Sicherheits-Patches und Updates helfen müssen. Auch Trainingsangebote für Administratoren, Webcast-Tutorials (speziell für "Threat Modelling") und eine Unmenge Literatur haben die Redmonder in petto.

Doch könnten die Kunden schon einmal drei Dinge zur Sicherheit ihrer Systeme beitragen, rät Gates:

1. Nie den neuesten Sicherheits-Patch von Microsoft verpassen.
2. Anti-Viren-Programme und aktuelle Signaturen verwenden.
3. Firewalls einsetzen.

(Erich Bonnert) / (anw)