MS: Niemand hat die Absicht, eine Mauer um den Windows-Kernel zu errichten
Wie die Windows-Sicherheit verbessern? Microsoft lud Security-Anbieter zum großen Konsens-Summit. Der Elefant im Raum: ein abgeriegelter Windows-Kernel.
(Bild: heise medien)
Ein sperrig betitelter „Windows Endpoint Security Ecosystem Summit“ und eine wegweisende Entscheidung bei Microsoft – das geht wohl zusammen: Gemeinsam mit Security-Anbietern hat der Konzern allem Anschein nach die Weichen für die Sicherheit des Betriebssystems neu gestellt. So deutlich will sich Microsoft zwar nicht ausdrücken, doch zwischen den Zeilen sieht das anders aus.
Alle einer Meinung?
Zunächst einmal soll es sich vor allem um einen Austausch mit Größen wie Sophos, Broadcom, Trend Micro, Trellix, ESET und SentinelOne gehandelt haben. Auch CrowdStrike war an Bord, denn bloß aufgrund dessen Update-Desasters samt einem der größten IT-Ausfälle weltweit fand dieser Gipfel überhaupt statt. So hob Microsoft auch als Erstes die Verantwortung dieser Security-Anbieter sowie die einhergehenden Herausforderungen hervor.
Da die heutige IT-Sicherheit so komplex sei, gäbe es keine einfachen Antworten. Viele Optionen bei der Windows-Security seien gut für Kunden, gemeinsame Standards wie Safe Deployment Practices (SDP) ebenfalls. Außerdem wolle man schnell kritische Komponenten besser testen, anbieterübergreifende Kompatibilitätstests verbessern sowie insgesamt vermehrt Informationen austauschen.
Sicherheit an anderer Stelle
Neben diesen eher Management-zentrischen Ansätzen lässt Microsofts Ankündigung jedoch auch eine technische Neuausrichtung durchblicken – und die hat es in sich: Security-Anbieter sollen neue Funktionen außerhalb des Windows-Kernels erhalten, mit denen ihre Software ihre Arbeit verrichten kann. Dabei habe man über Performance-Probleme abseits der Kernel-Ebene, die Absicherung der Sicherheitsprogramme selbst und nötige Sensoren zwischen Security-Software und Kernel gesprochen. Überdies habe man Kooperationsgrundlagen zwischen Microsoft und Drittentwicklern sowie Security-by-Design-Ziele festgehalten.
All das will Microsoft nun – in Abstimmung mit den Partnern – konkret in Windows umsetzen. Das Ziel: Verbesserte Ausfallsicherheit (die Ankündigung spricht vage von "Reliability", also Verlässlichkeit) ohne Zugeständnisse bei der Sicherheit.
Aber was ist daran so wegweisend? Security-Software kann direkt mit dem Windows-Kernel interagieren, entsprechend kritisch sind Lücken oder Fehler in ihr – was CrowdStrike zeigte. Und auch wenn Microsoft es nicht ausdrücklich anspricht, könnte ein komplett abgesperrter Kernel diese Schwachstelle entfernen. Gleichzeitig betont Microsoft überdeutlich, wie nötig die Sicherheitssoftware für Windows sei – deren Anbieter mit ihren nicht nur technischen, sondern auch wirtschaftlichen Interessen sitzen direkt mit am Tisch.
Was nicht gesagt wurde
Doch Security-Drittentwicklern sofort den Zugriff zu entziehen, würde nicht funktionieren. Planung und Koordination sind vonnöten: Erst muss eine solche Plattform für Sicherheitssoftware entworfen und gebaut werden, die Anbieter müssen ihre Software auf diese umstellen und schließlich müssen all diese Änderungen bei den Kunden ankommen. Erst dann könnte Microsoft die Mauer um den Windows-Kernel hochziehen.
Und obgleich die Ankündigung die innige Freundschaft zwischen den Konzernen beschwört, findet sich in den Zitaten der Partner ein vielsagender Hinweis: ESET unterstreicht, dass der Zugriff auf den Kernel unbedingt eine Option für Security-Software bleiben muss. Wer würde fordern, wenn eine Streichung dieses Zugriffs nicht diskutiert wurde?
Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E. In der nächsten Ausgabe geht's ums Titelthema der Oktober-iX: Neues in Windows Server 2025 und mehr AD-Sicherheit.
Neben dieser Spitze stellt sich zudem die Frage: Warum eine solche Ankündigung veröffentlichen, wenn man bloß rein prinzipiell diskutiert hat? Microsoft betont zwar, dass keine Entscheidungen gefallen seien, dass man transparent sein wolle, dass man bloß Schlüsselthemen und Konsenspunkte diskutiert habe – doch zu viel spricht dagegen. Zum einen wollten die Windows-Entwickler den Kernel des Betriebssystems schon 2006 komplett absperren. Damals sperrte sich die Sicherheitsbranche vehement gegen den Versuch.
Und zum anderen genießt Sicherheit aktuell oberste Priorität in Redmond, jeder Mitarbeiter muss sie sich jetzt auf die Fahnen schreiben – denn der Fokus auf Security beeinflusst künftig Gehälter, Boni und Beförderungen. In dieser Situation lädt Microsoft nicht groß zum Sicherheitsgipfel ein, diskutiert ohne Entscheidungen in einiger Runde, macht das sogar noch öffentlich – und belässt es dann dabei.
Microsoft als primus inter dispares
In welche Security-Richtung sich Microsoft bewegen wird, befürchteten andere Schwergewichte wie Cloudflare schon vor dem Summit: Dessen CEO Matthew Prince warnte vor einem knappen Monat davor, dass Microsoft den Zugriff auf den Windows-Kernel für alle außer eben Microsoft selbst abriegelt – mit entsprechenden Konsequenzen für die Leistungsfähigkeit der Sicherheitssoftware. Prince meint, Regulierungsbehörden müssten die Entwicklung im Auge behalten. Wohl auch deshalb betont Microsoft, dass Regierungsvertreter am Summit teilgenommen hätten – um welche es sich dabei handelt, bleibt unklar, denn zu Wort kommen sie in dem Bericht nicht.
Microsofts Artikel über den Windows Endpoint Security Ecosystem Summit findet sich im Windows-Blog.
(fo)
