Seit Microsoft um Vertrauen wirbt
Von Uli Ries
Am 15. Januar 2012 jährte sich zum zehnten Mal der Versand einer berühmten E-Mail: Bill Gates machte für alle Microsoft-Mitarbeiter die Themen Sicherheit, Datenschutz und Verlässlichkeit zum obersten Ziel. Unter „Trustworthy Computing“ (TwC) bündelt Microsoft seither seine Sicherheitsinitiativen.
Natürlich setzte Bill Gates Sicherheit, Datenschutz und Verlässlichkeit nicht aus freien Stücken ganz oben auf die Prioritätenliste: Windows-Nutzer in aller Welt kämpften seit vielen Monaten mit immer massiveren Wurm- und Vireninfektionen. Nimda, Code Red oder I Love You verseuchten Windows-Maschinen millionenfach und richteten in der Wirtschaft erhebliche finanzielle Schäden an. Zwar gab es mit der Secure Windows Initiative (SWI) schon ab 1999 erste Sicherheitsbemühungen in Redmond. Und auch das heute in Sachen TwC federführende Microsoft Security Response Center (MSRC) gab es schon, bevor Gates in die Tasten griff. Diese Bemühungen genügten aber nicht, um genug Sicherheit zu schaffen.
Kunden machen Druck
Insbesondere Microsofts Großkunden gingen daher auf die Barrikaden und forderten stabilere Software. Andernfalls würden sie zu alternativen Anwendungen und Betriebssystemen wechseln. Ein ehemaliger Microsoft-Manager, der gemeinsam mit Gates mit den Kunden diskutieren musste, erinnert sich daran, dass IT-Leiter von Großkonzernen den Microsoft-Gründer regelrecht angeschrien hatten. Zu groß war die Wut über die von der Malware sturmreif geschossenen Windows-Server und -PCs.
Zwar stieg die Anzahl der notwendigen Updates im ersten Jahr nach Erscheinen von Windows 7 im Vergleich zu Windows Vista wieder an (57 Lücken in Windows 7). Dies dürfte aber nicht unbedingt daran liegen, dass Codequalität nachlässt, sondern vielmehr daran, dass sich in der Zwischenzeit weitaus mehr Sicherheitsexperten auf die Suche nach Lücken in Windows und seinen wichtigen Komponenten wie dem Internet Explorer machen. Die Zahl der pro Jahr gefunden Schwachstellen steigt jedenfalls seit dem Jahr 2001 alle zwölf Monate rasant an.
Auch Steve Lipner, der Vater von Microsofts Security Development Lifecycle und mit 40 Jahren Berufserfahrung ein Veteran, erinnert sich an die turbulente Zeit: „Als die E-Mail von Bill außerhalb von Microsoft die Runde machte, ernteten wir Spott. Wir hatten immense Sicherheitsprobleme und die bösen Zungen sagten, dass wir diese mit einer E-Mail und Pressemitteilungen bekämpfen wollen“, so Lipner.
Teil 1 beginnt 2002, als Hacken fast Volkssport war und Windows die Hauptzielscheibe. Damals zog Bill Gates persönlich die Reißleine. Teil 2 spielt den Security Development Lifecycle bis zum Patch Tuesday durch und blickt Hackern über die Schulter, die für Microsoft Einbrecher spielen.
Redmond zieht die Notbremse
Dass Microsoft mehr tat, als Nachrichten zu verschicken, weiß kaum einer besser als Lipner. Er war es, der im Jahr 2002 den über 8000 Windows-Entwicklern bei Microsoft verkündete, dass ihre Arbeit bis auf weiteres auf Eis liege. „Wir mussten den Programmierern beibringen, wie sie möglichst fehlerfreie und somit schwer angreifbare Software schreiben. Das dazu notwendige Schulungskonzept haben wir in nur zwei Monaten entwickelt und in der Praxis lief es in der Tat etwas holprig am Anfang“, erinnert sich Lipner schmunzelnd. Sicherheit war plötzlich wichtiger als Funktionsumfang und Aussehen – eine Erkenntnis, die sich nur langsam durchsetzt in der IT-Welt.
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.
Dass Microsoft in der Folge in der Tat vieles bewegt hat in Sachen Sicherheit, erkennen sogar die Kritiker der Redmonder an. Chaouki Bekrar, Geschäftsführer des französischen IT-Sicherheitsunternehmens Vupen und kein ausgewiesener Microsoft-Freund, sagt: „Mit Windows XP angefangen und bis hin zu Windows 7 hat Microsoft die Sicherheit seiner Systeme spürbar verbessert. Sehr wahrscheinlich werden die Funktionen zum Schutz gegen Missbrauch in Windows 8 ebenfalls ein großer Schritt werden.“ Der bekannte Hacker Charlie Miller – der sonst ebenfalls nicht mit Kritik spart – bringt es auf den Punkt: „Vergleicht man die Sicherheit der Prä-TwC-Produkte mit den aktuellen, ergeben sich dramatische Unterschiede.“
Bekrar und Miller zollen auch dem von Steve Lipner erdachten Security Development Lifecycle (SDL) Respekt und erkennen auch Microsofts Bemühungen an, die internen Prozesse zum Umgang mit selbst entdeckten oder von außen gemeldeten Schwachstellen zu optimieren. Der Vupen-Chef weiß in diesem Fall, wovon er spricht: Sein Unternehmen lieferte in der Vergangenheit regelmäßig Schwachstelleninformationen nach Redmond.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Checkliste für Programmierer
Der SDL dürfte Lipners wohl wichtigster Beitrag zu TwC sein. Er soll die Entwicklung von weitgehend fehlerfreier und somit sicherer Betriebssysteme und Anwendungen ermöglich. Insgesamt durchlaufen Microsoft-intern inzwischen über 300 Produkte pro Jahr den SDL, vom per Update verteilten Windows-Patch über Xbox-Spiele bis hin zum Serverbetriebssystem. Damit auch andere Softwarehersteller Nutzen aus dem SDL ziehen, hat Microsoft im Laufe des Jahres 2008 zahlreiche Dokumente, Videos und Webcasts veröffentlicht, die den SDL ausführlich beschreiben.
- Wie sich der Security Development Lifecycle dreht und warum Cloud-Anwendungen ein Problem darstellen, ist Gegenstand von Teil 2 dieser Serie.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing