Novell vs. Microsoft: Clinch um Sicherheitslücke

Novell geht in Stellung gegen Microsofts neues Windows 2000, speziell gegen Active Directory. In einer Übersicht bestimmter Funktionen des Verzeichnisdienstes in Windows 2000 spricht Novell von einer ernsten Sicherheitslücke. Angeblich könne ein Administrator über einen Umweg Rechte zurückerlangen, die ihm für bestimmte organisatorische Abteilungen innerhalb des Directory entzogen wurden.

Novell geht davon aus, dass selbst Netzwerk-Administratoren nicht immer alle Rechte für die Ressourcen und Daten aller Abteilungen einer Firma haben sollten. So ist es beispielsweise denkbar, für die Verwaltung der Rechte in der Finanz- oder Personalabteilung nur bestimmte Personen vorzusehen, während die normalen Administratoren darauf keinen Zugriff haben -- aus datenschutzrechtlichen Gründen ebenso wie aus Gründen der Geheimhaltung von internen Informationen.

Novell behauptet nun, in der hauseigenen Directory-Software NDS ließe sich diese Aufteilung wasserdicht organisieren. In Microsofts Active Directory hingegen könne eine Sperrung von einem Administrator über Umwege wieder aufgehoben werden: Wählt der Administrator zuerst eine andere organisatorische Einheit im Active Directory aus, zu der er alle Rechte hat, kann er sich schließlich wieder Rechte verschaffen, indem er die eigentlich abgeschalteten Vererbungsmechanismen wieder aktiviert und sich Rechte in übergeordneten Strukturen des Verzeichnisses verschafft.

Ob der Fehler im Directory selbst oder in den Verwaltungswerkzeugen liegt, lässt Novell noch offen. Allerdings sieht die Firma in beiden Fällen große Gefahren auf die Unternehmen zukommen, die Active Directory einsetzen wollen. Sind die Tools schuld, wären sie es, die für die Sicherstellung von Zugriffsrechten zuständig wären und nicht das Directory selbst -- ein riskanter Ansatz, der Tür und Tor für Sicherheitslöcher öffne. Läge das Problem dagegen im Active Directory selbst, bedeute dies einen Design-Fehler in der Sicherheitsarchitektur des Verzeichnisdienstes, der in ungeeignet für Netze in Großunternehmen mache.

Microsoft-Sprecher reagierten auf die Vorwürfe prompt. Allerdings erklärten sie bislang nur lapidar, dies sei keine grundsätzliche Verletzung der Sicherheit im Active Directory. Ob Novell tatsächlich Recht hat oder nur eine Unklarheit in der Verzeichnisverwaltung aufzeigt, muss sich noch herausstellen. In dem von Novell dargestellten Beispiel scheint es zumindest, als ließe sich das Problem umgehen: Dem allgemeinen Administrator müssten neben den Rechten auf eine bestimmte organisatorische Einheit im Directory auch die Rechte auf das Personenobjekt entzogen werden, dass für diese Einheit als Administrator eingetragen ist.

Ob nun Microsoft oder Novell Recht behält: Die NetWare-Company hofft offensichtlich, von den jüngsten Diskussionen um die Schwierigkeiten bei der Einführung von Windows 2000 zu profitieren. Besonders die Verzeichnisdienste sind als zentraler Service zur Verwaltung von Ressourcen, User-Accounts und Zugriffsrechten für Microsoft ebenso wie für Novell wichtiger Bestandteil bei den Bemühungen, Unternehmen als Kunden zu gewinnen. Novell hat dafür mit den NDS bislang nahezu die einzige, in der Praxis bewährte Lösung anzubieten -- die zudem nicht nur für Windows, sondern inzwischen beispielsweise auch für Solaris und demnächst für Linux verfügbar ist.

Novell baut nach eigenen Aussagen die Zukunft des Unternehmens ganz auf die NDS. Mit Active Directory entsteht zumindest für die Windows-Plattform ein ernsthafter Konkurrent -- auch wenn viele Beobachter wohl zu Recht davon ausgehen, dass Active Directory in den ersten Versionen noch nicht mit den NDS mithalten kann. Microsoft wird natürlich nicht ruhen, den Vorsprung Novells aufzuholen. Und die Marktmacht Microsofts ist natürlich ein Pfund, mit dem die Redmonder auch beim Etablieren des Active Directory wuchern werden. Kann Novell allerdings schon jetzt das Vertrauen in die Sicherheit von Active Directory erschüttern, dürfte die Latte für Microsoft dann doch um Einiges höher hängen. (jk)