[wilhelmtux-discussion] heise online: Bill Gates: Sicherheit ueber alles

ribnitz at linuxbourg.ch ribnitz at linuxbourg.ch
Fre Jan 24 14:06:32 CET 2003


Diese Meldung aus dem heise online-Newsticker wurde Ihnen
von "ribnitz at linuxbourg.ch" gesandt.
Wir weisen darauf hin, dass die Absenderangabe nicht verifiziert
ist. Sollten Sie Zweifel an der Authentizität des Absenders haben,
ignorieren Sie diese E-Mail bitte.
--------------------------------------------------------------------
Bill Gates: Sicherheit über alles



 Ein Jahr nach seinem E-Mail-Aufruf[1] an alle Untergebenen, für mehr
Vertrauenswürdigkeit der Microsoft-Produkte zu sorgen, schildert der
Microsoft-Gründer jetzt auch allen Kunden seine Überlegungen zum
"Trustworthy Computing". Gates hat in seiner Mitteilung überwiegend
Allgemeinplätze und bereits bekannte Fakten zu bieten. Zu den
bevorstehenden Programmversionen Windows Server 2003, Office 11 sowie der
Sicherheitsarchitektur Palladium gibt er nur spärlich Auskunft. 

 In der vollkommenen vernetzten Welt der Internet-Wirtschaft sei eine
sichere Computer-Plattform das wichtigste, betont Gates. Die
Sicherheitsrisiken hätten sich in einer Weise verstärkt, die kaum jemand in
der Branche vorausgeahnt habe. Einem Bericht des FBI zufolge sind
US-Unternehmen über 455 Millionen US-Dollar an Schäden durch
Computer-Kriminalität entstanden. Dem stelle Microsoft Bemühungen um mehr
Sicherheit im Wert von 200 Millionen Dollar entgegen. Mehr als 11.000
Entwickler seien eigens in sicherer Programmierung ausgebildet worden.
Microsoft investierte zudem in ein kontinuierliches Training, das auch
Kunden und externen Entwicklern angeboten wird. 

 Mit speziellen Angriffsteams simuliert Microsoft Bedrohungsszenarien
("Threat Model") für verschiedene Systemkomponenten. Teilweise sind dabei
auch externe Spezialisten beteiligt, erklärt Mike Nash, Vizepräsident von
Microsofts Security Business Unit. Die Experten versuchen dabei,
Verschlüsselungen zu knacken, in geschützte Systeme einzudringen oder sie
zu manipulieren. "Sie können sich denken, dass dabei verschärfte
Geheimhaltungsvorschriften gelten", sagt Nash. Die Hälfte aller entdeckten
Programm-Bugs sei während der Bedrohungsanalysen gefunden worden.

 Ähnlich diskret geht Microsoft etwa bei der Offenlegung von Quellcodes[2]
gegenüber Regierungsstellen vor, wie etwa bei der Kooperation mit den USA,
China und zuletzt Russland. Microsoft sehe die Notwendigkeit, externe
Fachleute bei der Sicherheitsplanung mit einzubeziehen und wird dieses
"Shared Source"-Verfahren noch ausdehnen, sagt Nash. Die Urheberrechte des
Herstellers müssten dabei freilich geschützt bleiben.

 Bei der Auslieferung von Windows Server 2003 wird Microsoft vorsorglich
über 20 Funktionen und Services in der Werkseinstellung abschalten. Die
Funktion des Internet Explorers wird ebenfalls per Voreinstellung
eingeschränkt. Zu den wesentlichen Erweiterungen im Vergleich zu Windows
2000 soll ein besseres Identitätsmanagement, rollenbasierte
Authorisierungen für Nutzer und eine integrierte Public-Key-Infrastruktur
zählen. Ansonsten sei die höhere Skalierung das Hauptmerkmal des
Server-Systems. Dazu kämen eine Reihe von Tools, um Installation und
Inbetriebnahme zu erleichtern. 

 Palladium werde bedeutende Fortschritte in Bezug auf Integrität,
Datenschutz und Datensicherheit bringen, rühmt Gates in seinem Memorandum.
Microsoft hat bereits zuvor dargestellt, dass Speicherbereiche für
bestimmte Anwendungen abgeriegelt werden und nur für zertifizierte
Komponenten zugänglich sind. Welche Prüftechniken für Identität und
Authentizität dabei eingesetzt werden, ist noch weitgehend Spekulation.
Auch Gates macht hierzu keine Angaben. 

 Bis dieser sorgenfreie Umgang mit Computernetzen erreicht ist, wird
Microsoft den Kunden wohl weiter mit Sicherheits-Patches und Updates helfen
müssen. Auch Trainingsangebote für Administratoren, Webcast-Tutorials
(speziell für "Threat Modelling") und eine Unmenge Literatur haben die
Redmonder in petto. 

 Doch könnten die Kunden schon einmal drei Dinge zur Sicherheit ihrer
Systeme beitragen, rät Gates:  Nie den neuesten Sicherheits-Patch von
Microsoft verpassen. Anti-Viren-Programme und aktuelle Signaturen
verwenden. Firewalls einsetzen.  (Erich Bonnert) / (anw[3]/c't)

URL dieses Artikels:
 http://www.heise.de/newsticker/data/anw-24.01.03-002/

Links in diesem Artikel:
 [1] http://www.heise.de/newsticker/data/wst-17.01.02-002/
 [2] http://www.heise.de/newsticker/data/wst-15.01.03-000/
 [3] mailto:anw at ct.heise.de

--------------------------------------------------------------------
Copyright 2003 by Heise Zeitschriften Verlag