Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

07.02.2005

Microsoft bevorzugt integrierte Sicherheit

Fast alles, was mehr Sicherheit bringt, von Patch-Management bis Endpoint Security, sehen die Redmonder als Bestandteil des Betriebssystems.

Relativ spät hat Microsoft damit begonnen, sich intensiv mit dem Thema Sicherheit auseinander zu setzen. Die Haltung des Unternehmens änderte sich erst mit der denkwürdigen E-Mail von Bill Gates an die Mitarbeiter, in der er das Schlagwort vom "Trustworthy Computing" prägte. Nicht zuletzt weil man die von Hackern bevorzugt torpedierte Windows-Server-Plattform in der Unternehmens-IT positionieren wollte, hat der Konzern enorme Anstrengungen unternommen, um das Versäumte aufzuholen.

Über die Ergebnisse lässt sich streiten. Microsoft betont, dass inzwischen im Vergleich zu Vorgängerversionen weniger und nicht mehr so schwere Sicherheitsmängel entdeckt werden, gegen die dann Patches aufgespielt werden müssen.

Gebündeltes Know-how

Dass Microsoft das Sicherheitsthema mittlerweile ernst nimmt, belegt die Tatsache, dass der Softwareriese eine spezielle "Security Business and Technology Unit" unterhält. Wie Craig Mundie, Senior Vice President und Chief Technical Officer Advanced Strategies and Policy, aus Anlass des Beginns der Initiative "Deutschland sicher im Netz" der computerwoche erläuterte, ist dieser Geschäftsbereich "mitverantwortlich, für unsere Kernprodukte Sicherheitstechniken auf Systemebene zu entwickeln und bereitzustellen". Dafür stehen der Abteilung Mittel aus Microsofts insgesamt sechs Milliarden Dollar umfassendem Forschungs- und Entwicklungsetat zur Verfügung.

Neben den Betriebssystem-Erweiterungen kümmert sich die Truppe aber nach Angaben von Mundie auch um Produkte, "die eben nicht zur Plattform gehören, sondern einen Mehrwert-Service oder -Server" darstellen. Hier ist etwa der "ISA Server 2004" zu nennen. Außerdem entwickelt sie wichtige Updates wie das Service Pack 2 für Windows XP und kostenlose Zusatzprogramme wie das unlängst vorgestellte "Malware Removal Tool" oder den "Microsoft Baseline Security Analyzer". Letzterer soll dabei helfen, den Sicherheitszustand von Rechnern zu überprüfen, auf mögliche Gefahren beziehungsweise Schwachstellen hinzuweisen und dabei helfen, sie zu beseitigen.

Separate Werkzeuge stellen für Mundie jedoch eher die Ausnahme dar. Der Manager sieht Microsoft nicht als klassischen Security-Player, der gezielt Lösungen für Sicherheitsprobleme anbietet. IT-Security ist für ihn vergleichbar mit anderen Funktionen auf Applikationsebene, die als eigene Produkte entwickelt wurden, aber schließlich in die darunter liegende Plattform eingingen.

Microsoft wolle jedoch "einen Fuß in beiden Lagern haben, wobei unsere Neigung dahin geht, einige Funktionen als Kernbestandteile des Betriebssystems zu integrieren, die unabhängige Firmen vielleicht eher als eigenständige Produkte vermarkten würden". Die Grenze sei fließend.

Unklar ist bislang, wie das unlängst vorgestellte "Antispyware" in diesem Kontext zu sehen ist: Mundie zufolge hat das Unternehmen mit dem Betatest dieser Lösung begonnen, "weil wir in diesem Bereich derzeit das Potenzial einer größeren Bedrohung sehen". Zudem sei das Angebot für Anwender in diesem Marktsegment nicht ausreichend, "weswegen wir unsere Energie derzeit auf dieses Sicherheitssegment konzentrieren".

Keine Konkurrrenz

Spekulationen, Microsoft wolle eine eigene Lösung zum Virenschutz anbieten, erteilt der Manager indes eine Absage: Es gebe für die Abwehr von elektronischen Schädlingen "ein paar sehr gute Lösungen von Drittanbietern".

Neben den genannten Bereichen konzentrieren sich die Aktivitäten der Redmonder derzeit in erster Linie auf die Bereiche Patch-Management, Endpoint Security und digitale Identitäten.

Wie Mundie erläutert, schrumpft die Zeit zwischen dem Bekanntwerden einer Schwachstelle und ersten Attacken, die darauf abzielen, diese Lücke auszunutzen.

Anwender hätten im Gegensatz zu früher nicht mehr die Zeit, alle Updates vor dem Aufspielen auf ihre Funktionsfähigkeit zu testen. Mundie fordert daher eine Mentalität, die dem Prinzip "Erst reagieren, dann reparieren" folgt. Hierbei spiele die von Microsoft geschaffene Möglichkeit, einmal installierte Patches wieder restlos zu entfernen, eine wichtige Rolle: "Das ist nicht einfach nur eine nette Funktion, sondern erlaubt es Anwendern, erst einmal auf neue Bedrohungen zu reagieren. Sollten danach bei einigen Geräten Probleme auftreten, können sie sich gezielt um diese kümmern." Wahlweise hält er es für denkbar, nur die wirklich geschäftskritischen Systeme zu testen.

Im Bereich Identität unterstreicht der Manager die Bereitschaft Microsofts zu Investitionen, um digitale Identitäten für Anwendungen, Personen und IT-Equipment im Unternehmen zu schaffen: "Wir müssen von Login und Passwort wegkommen, weil sie eine viel zu große Gefahr bergen." Anwender müssten dazu gebracht werden, Authentifikationslösungen zu verwenden, die den Benutzer erst aufgrund von zwei Sicherheitsverfahren akzeptieren. Zudem müssten Anbieter stärkere Identifikationsmechanismen in ihre Software integrieren. Mundie setzt hier auf Sicherheits-Chips (Trusted Platform Module = TPM), die in diesem Jahr in vielen neuen Rechnern enthalten sein werden. Damit sei es möglich, eine Kette sich verzahnender Sicherheitsmechanismen innerhalb der auf einem PC installierten Hard- und Software zu etablieren. Außerdem lassen sich Sicherheitsmerkmale für die Authentifizierung auf dem internen Chip ablegen.

Schließlich spielt das Thema Endpoint Security eine wichtige Rolle für Microsoft: "Viele Firmen haben noch nicht begriffen, dass klassische Firewalls ausgedient haben." Nötig seien lokale Firewalls innerhalb jedes einzelnen Computers, die ihn schützen, unabhängig davon, ob er sich nun innerhalb des Unternehmensnetzes oder im Internet befindet.

Schutzregeln für den Client

Die Bemühungen sollten darauf abzielen, verstärkt Schutzmaßnahmen in die Clients zu integrieren, um Ende-zu-Ende-Sicherheit zu bieten. Dazu gehören nach Meinung von Mundie auch Quarantäne-Funktionen: Mobile Geräte, die an das Unternehmensnetz angeschlossen werden sollen, müssen erst daraufhin untersucht werden, ob sie definierte Sicherheitsvoraussetzungen erfüllen.

Microsoft arbeitet mit Hochdruck an einem solchen Verfahren und nennt es Network Access Protection. Cisco treibt mit Network Access Control ein ähnliches Konzept voran. Mundie räumt ein, dass die beiden Unternehmen in dieser Sache nicht zusammenarbeiten, was aber eine Einigung nicht ausschließt.