Web

 

Trustworthy Computing, Phase zwei

24.02.2003

MÜNCHEN (COMPUTERWOCHE) - Microsoft hat das zweite Jahr der von Firmengründer Bill Gates ausgerufenen Initiative "Trustworthy Computing" mit der Einsetzung eines wissenschaftlichen Beirats eingeläutet. Das Microsoft Trustworthy Computing Academic Advisory Board rekrutiert sich aus 14 Experten im Bereich Computersicherheit und Softwareentwicklung, unter anderem von den Universitäten Stanford, Cornell, Carnegie Mellon (alle USA), London und Mailand. Separat gibt es noch ein fünfköpfiges Team von Rechtsexperten, das sich um Datenschutzrecht und -technik kümmern soll.

In Sachen Trustworthy Computing gibt es jedenfalls auch nach einem Jahr für den Softwarekonzern noch jede Menge zu tun. Stuart Okin, Chief Security Officer bei Microsoft UK, sagte gegenüber "Computerwire", ganz oben auf der Liste stehe ein verbessertes Patch-Management. Die einzelnen Produkt-Teams arbeiteten sehr unabhängig voneinander und gingen auch unterschiedlich mit Fehlern um. Betriebssystemfixes würden beispielsweise über "Windows Update" ausgeliefert. Office-Anwender müssten die Produkt-Site des Herstellers selbst aufsuchen und ihren Rechner manuell auf Probleme scannen lassen, und Anwender des SQL Server wiederum würden via Mail-Alert benachrichtigt und müssten Patches aus dem TechNet herunterladen.

"Wir brauchen dafür einen einheitlichen Prozess, und das müssen wir in den kommenden ein oder zwei Jahren adressieren", erklärte Okin. Microsoft verwende derzeit sieben verschiedene Installationsprogramme über seine Produktpalette hinweg, und es werde einige Zeit brauchen, um hier auf ein einziges Produkt zu standardisieren. "Einen einzigen Installer in zwei Jahren schaffen wir wohl nicht, aber herunter auf Windows Update und MSI kommen wir", so Okin. "Mit etwas mehr Zeit sollten wir dann einen einzigen Installer haben, und den könne dann hoffentlich auch ISVs verwenden."

Außerdem, so Okin, bemühe sich Microsoft, das interne Sicherheits-Training zu vereinheitlichen, nachdem das Unternehmen Anfang vergangenen Jahres für zehn Wochen die Weiterentwicklung seiner Produkte eingefroren und stattdessen die vorhandene Codebase auf Fehler und mögliche Sicherheitslecks prüfen ließ. Dieser Check solle institutionalisiert werden. Firmenintern werde zudem ein neues Bewertungssystem erarbeitet, mithilfe dessen man den Ourput einzelner Produkt-Teams hinsichtlich Sicherheit, Datenschutz, Zuverlässigkeit und "Geschäftsintegrität" ("business integrity") erfassen könne.

Last, but not least wolle Microsoft seinen Anwendern Richtlinien und Werkzeuge an die Hand geben, mit der sich Technik des Herstellers in einer sicheren und verlässlichen Infrastruktur entwickeln und ausbringen lasse. Alles in allem brauche dies aber Zeit. "Windows 2003 wird das sicherste Betriebssystem aller Zeiten. Aber es wird ein paar Probleme haben, die wir übersehen haben. Heißt dass, Trustworthy Computing hat versagt? Nein", so Okin. "Es ist ein Weg. Trustworthy Computing ist die Vision einer Zukunft, wo man Rechnern so vertraut wie einem Versorgungs- oder Telefonunternehmen. Und es kann fünf, zehn oder auch 15 Jahren dauern, bis wir dieses Ziel erreichen." (tc)