Microsoft wird den unabhängigen Standard OpenID in seine in Vista eingebaute Identity-Management-Lösung CardSpace (ehemals InfoCard) integrieren. Das verkündeten Microsoft-Mitgründer Bill Gates und sein designierter Nachfolger Craig Mundie auf der RSA Conference 2007, die derzeit in San Francisco stattfindet. "Die Verschmelzung von CardSpace und OpenID 2.0 bedeutet einen Riesenschritt voran", so Mundie. Bei OpenID handelt es sich um einen offenen Standard, der es Internet-Nutzern ermöglichen soll, sich auf unterschiedlichen Webseiten einzuloggen, ohne dort jeweils einen eigenen Account anlegen zu müssen (Single Sign-on). Mit der Integration der beiden Techniken ziele Microsoft darauf ab, das Thema "Man-in-the-Middle-Attacken" aus der Welt zu schaffen, so Microsofts Chief Research and Strategy Officer. Bei dieser zunehmend von Phishern angewandten Angriffsmethode gelangen Kriminelle an sensible Nutzerinformationen, indem sie eine gefälschte Web-Seite erstellen, die Daten zwischen dem Opfer und der legitimen Site hin- und herschickt.
Ansonsten war die gemeinsame Keynote-Ansprache der beiden Microsoft-Größen auf dem Gipfeltreffen der Security-Branche wie immer als reich an Visionen, aber sparsam im Hinblick auf Konkretes. So ließen sich Gates und Mundie über Microsofts Pläne aus, Sicherheit generell, speziell aber das Management digitaler Identitäten zu vereinfachen. Erreichen ließe sich dies, indem Log-in-Passwörter durch starke, auf Zertifikaten basierende Authentifizierungstechniken wie Smartcards ersetzt würden. Passwörter seien nicht nur schwach, statuierte Gates. Je mehr Kennwörter man habe, desto schwieriger sei es, diese sicher zu verwalten. Die Zukunft liegt nach Ansicht des Softwaremilliardärs in Methoden, die Nutzern eine Authentifizierung mittels Zertifikaten statt schwachen Passwörtern ermöglichten.
Mit seinem auf der Sicherheitskonferenz präsentierten "Identity Lifecycle Manager 2007" hofft Microsoft, den Einsatz von Smartcards voranzutreiben. Die Software soll die Integration starker Authentifizierungstechniken in Microsoft-Netze erleichtern. In die voraussichtlich Anfang Mai verfügbare Lösung fließt der "Identity Integration Server" ein, den sich der Softwarekonzern im Jahr 2005 mit der Übernahme von Alacris ins Haus geholt hatte.
Laut Mundie ist es für Unternehmen an der Zeit, in Sachen Security umzudenken: Bislang sei es beim Thema Sicherheit vorrangig um das Abschotten gegen Bedrohungen gegangen. Künftige Security-Mechanismen müssten jedoch vielmehr dafür sorgen, dass es einfacher werde, sicher Zugang zu Netzen zu gewähren. Große Bedeutung sei in diesem Zusammenhang Techniken wie IPsec und IPv6 beizumessen, wie sie der Softwarekonzern selbst bereits seit zweieinhalb Jahren in einem internen Zugangskontrollsystem nutze. Letzteres gewähre Mitarbeitern und Partnern zwar Zugriff auf die für sie erforderlichen Daten und Applikationen, halte sie jedoch vom restlichen Netz fern, so Mundie.
Abschließend appellierte er an Unternehmen, über das Abschotten des Netzperimeters hinaus zu denken. Angesichts des sich grundlegend verändernden Bedrohungsmodells lasse sich mit der Grundhaltung, alles schützen zu wollen, nicht genügend erreichen. "Unser Schloss ist recht porös, weil viele unserer Geräte es verlassen."
Ein Besucher der Sicherheitskonferenz zeigte sich von Microsofts Darbietungen wenig beeindruckt. "Das war eine der inhaltslosesten Darbietungen, die ich seit Jahren auf der RSA gesehen habe", monierte Bruce Schneier, Gründer und Chief Technology Officer bei der BT-Einheit Counterpane Internet Security. Nach Meinung des Sicherheitsexperten handelte es sich bei den gemeinschaftlichen Ausführungen der beiden Microsoft-Männer eher um einen symbolische Amtsübergabe von Seiten Bill Gates an Mundie. Dieser wird die Aufgaben des Microsoft-Mitgründers ab Juli 2008 übernehmen. (kf)