Kommentar: Microsofts schöne neue Security-Welt

Microsoft ist in den letzten Monaten in Bezug auf Security sehr unter Druck geraten. Insbesondere der Vorfall rund um den gestohlenen Master-Key, der Angreifern den Zugang zu fast allen Konten der Microsoft-Cloud gab, offenbarte ein solches Maß an Schlamperei und Inkompetenz, dass der Ruf nach einer grundlegenden Neujustierung laut wurde. Da auch wichtige Kunden und vor allem US-Regulierungsbehörden auf Konsequenzen drängten, konnte Microsoft diesen Ruf nicht einfach ignorieren. Und da ist sie jetzt, Microsoft verkündet: "Eine neue Welt der Sicherheit: Microsofts Secure Future Initiative"

Charlie Bell, Executive Vice President für Microsoft Security, erläutert in einer nachträglich als Blog-Post veröffentlichten E-Mail den Microsoft-Angestellten und der Welt, was dieses Projekt für die hauseigenen „Softwareentwicklungspraktiken“ bedeutet. Er stellt sich damit in die Tradition von Bill Gates, der 2002 in einer Mail an alle Angestellten einen Strategiewechsel bei Microsoft eingefordert hatte, der der IT-Sicherheit oberste Priorität geben sollte, um sich des Vertrauens der Kunden würdig zu erweisen – Trustworthy Computing war geboren.

Ein Kommentar von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source. Sein aktuelles Projekt ist heise Security Pro für Sicherheitsverantwortliche in Unternehmen und Organisationen.

• heise Security Pro

Man mag von Bill Gates und Microsoft halten, was man will, doch selbst Kritiker räumen ein, dass seine Trustworthy-Computing-Initiative damals zumindest zeitweise eine Neuausrichtung und sehr grundlegende Konzepte wie den Secure Development Lifecycle auf den Weg brachte. Doch wer von der "Secure Future Initiative" ähnlich bahnbrechendes erwartet, sieht sich schnell enttäuscht. Denn statt Selbstreflexion, gründlicher Analyse und einer daraus abgeleiteten Zukunftsstrategie gibt es unverblümte Sales Pitches für die neuen KI-Tools, garniert mit ein wenig Herumdoktern an Symptomen.

Die drei Pfeiler

Bell hebt drei Eckpfeiler der Initiative hervor: 1. Transformation der Software-Entwicklung, 2. Umsetzung neuer Identitäts-Schutzmaßnahmen und 3. Schnellere Reaktion auf Schwachstellen. Es lohnt, sich seine Erklärungen dazu etwas detaillierter anzusehen.

"First, we will transform the way we develop software with automation and AI"

Mehr Automatisierung gepaart mit künstlicher Intelligenz assoziiert man vor allem mit Produktivitätssteigerung; dass sich diese positiv auf die Qualität und Sicherheit der Software auswirkt, ist keineswegs ausgemacht. Es mehren sich Bedenken, dass Helfer wie Microsofts Copilot selbst zur Quelle von Sicherheitsproblemen werden. Optimistische Security-Experten hoffen, dass sich die positiven Effekte von KI mit den deutlich verbesserten Möglichkeiten der Angreifer die Waage halten. Einen Heilsbringer für die IT-Sicherheit sehen in der KI jedoch nur diejenigen, deren Taschen sie füllen soll.

"Second, we will [...] provide a unified and consistent way of managing and verifying the identities and access rights [...]."

Hier geht es vor allem um Microsofts Rolle als globaler Identity Provider, wo man seit dem Cloud-Masterkey-Fiasko in Redmond seine Felle davonschwimmen sieht. Dass Microsoft da nachbessern will, ist sehr zu begrüßen. Es fallen dabei sogar wichtige Stichworte wie Multifaktor-Authentifizierung und Hardware Security Modules. Da wird hoffentlich etwas repariert, was sehr grundsätzlich kaputt ist.

Was jedoch fehlt, ist eine grundsätzliche Analyse, warum diese bewährten und seit Jahren in jeder Maßnahmen-Sammlung aufgeführten Security-Bausteine ausgerechnet im sensibelsten Bereich von Microsofts Infrastruktur fehlten beziehungsweise nicht funktionierten. Wie es zu all den faulen Kompromissen kommen konnte, die eine Microsoft-Infrastruktur heute prägen, wo sich solche Fehlentwicklungen noch überall auswirken und wie man das für die Zukunft verhindern will. Kurz: Bell arbeitet sich an Symptomen ab, ohne deren Ursachen und deren Auswirkungen auf das Gesamtsystem zu diskutieren.

"Lastly, we are continuing to push the envelope in vulnerability response and security updates for our cloud platforms."

Ganze 50 Prozent schneller will Microsoft auf Sicherheitslücken reagieren – aber nur bei den Cloud-Produkten. Und was ist mit Windows, MS Office, Exchange, Active Directory? Selber schuld, wer das noch einsetzt? Geh gefälligst in die Cloud, da wird dir geholfen? Unverblümter kann man kaum auf seine Verantwortung gegenüber Millionen Kunden pfeifen.

Und was ist mit all den Fixes, die eine Lücke nur teilweise schließen, sodass diese nach wenigen Wochen oder Monaten auf anderem Weg erneut ausgenutzt wird? Bessere Fixes lassen sich mit der an dieser Stelle erneut angepriesenen Kombination aus KI und Automation jedoch beim besten Willen nicht umsetzen. Kein Wunder, dass Bell diese Seite der Medaille nicht diskutiert.

Die Genfer Cyber-Konvention

In der allgemeineren Vision über Microsofts schöne neue Welt der Sicherheit kulminiert das alles dann noch in einem Appell, dass Staaten doch bitte das mit dem Angreifen bleiben lassen mögen – also zumindest in der Cloud. Es fehlt nur noch die Forderung nach einer Verhinderung des drohenden Klimawandels, der Lösung des Nahost-Konflikts und der Abschaffung des Welthungers.

Ich sehe durchaus auch Handlungsbedarf bei der Politik, auch und gerade, was die internationale Ächtung und Strafverfolgung von Cybercrime und staatlich gesteuerter Spionage-Aktivitäten angeht. Und wenn sie schon dabei sind, könnten sie auch gleich Hersteller und Anbieter von Diensten für die Folgen ihres Miss-Managements in Bezug auf Security haftbar machen. Microsoft jedoch täte wirklich gut daran, zunächst mal seinen eigenen Augiasstall auszumisten.

Doch dazu müsste man Ursachen erforschen und Strategien zu deren Beseitigung entwerfen, um letztlich sicherere Produkte zu entwickeln. Aber das würde ziemlich sicher Geld kosten oder – Gott-bewahre – lukrative Geschäftskonzepte gefährden. Stattdessen macht Microsoft lieber im Wesentlichen weiter wie bisher und für die Sicherheit versprechen sie, "einen KI-basierten Cyber-Schutzschild aufzubauen, der Kunden und Länder auf der ganzen Welt schützen wird". Statt sicherer Software und vertrauenswürdigem Computing bekommen wir also einen Cyber-Schutzschild. Das wird nicht reichen.

(ju)