Web

 

"Wir verbergen unsere Fehler nicht"

01.10.2001
In Zeiten von Nimda und Co. gerät Microsoft wieder ob seiner unsicheren Produkte in die Kritik. Scott Culp, Chef des Security Response Center, erklärt die Position des Redmonder Konzerns.

MÜNCHEN (COMPUTERWOCHE) - In Zeiten von Nimda und Co. gerät Microsoft wieder ob seiner unsicheren Produkte in die Kritik. Scott Culp, als Program Manager verantwortlich für das Security Response Center des Redmonder Softwarekonzerns, sprach mit unseren Kollegen von der "PC World" über die zunehmenden Sicherheitslöcher in Software und die Schritte, die Microsoft dagegen unternimmt.

PCW: Was tut Microsoft, um sichere Software abzuliefern?

CULP: Wir fangen mit der Sicherheit beim Design an. Dann geht es weiter mit gutem Coden und verlässlichen Compiling-Tools, die möglichst viele Fehler abfangen. Und nach der Implementierung ist Testen angesagt.

PCW: Gibt es einen "eingebauten" Zeitrahmen für die Tests?

CULP: Nein. Angefangen haben wir das erst mit Windows 2000. Damals haben wir gesagt: Wenn auf irgendeinem Bug "Sicherheit" draufsteht, dann verschieben wir den Auslieferungstermin.

PCW: Heißt das, dass Sie ältere Windows-Versionen mit bekannten Sicherheitsfehlern ausgeliefert haben?

CULP: So würde ich das nicht ausdrücken. Es gibt aber immer Unterschiede zwischen geplanter und tatsächlich erreichter Qualität. Irgendwann muss jeder Softwareanbieter fragen: Haben wir ein ausreichendes Qualitätsniveau erreicht? Und eins ist klar: Null Fehler gibt es nicht. Irgendwann muss man das Band durchschneiden und ausliefern. Bei Windows 2000 haben wir erstmals gesagt, wir nehmen Security-Bugs aus - hier ist die Zahl Null angesagt, und vorher bringen wir das Produkt nicht heraus.

PCW: Aber das hieße doch, dass Sie zuvor Produkte mit bekannten Sicherheitslecks ausgeliefert haben.

CULP: Es gibt unterschiedliche Grade von Sicherheitslecks. Wenn ein Bug zum Beispiel erlaubt, dass jemand die komplette Kontrolle über ein System übernimmt, dann ist das offensichtlich ein ernstes Problem. Interessant ist dabei natürlich auch, ob ich dieses Leck nur dann ausnutzen kann, wenn ich direkt auf die Maschine zugreife, oder ob das auch über das Netz funktioniert.

In der Vergangenheit haben wir all diese Faktoren zusammengenommen und gesagt: Es ist akzeptabel, wenn wir mit einer bestimmten Anzahl harmloser und äußerst schwierig auszunutzender Verwundbarkeiten liefern. Seit Windows 2000 tun wir das nicht mehr, wenn noch irgendwo "Security" draufsteht.

PCW: Wenn Sie sich jetzt mehr Zeit zum Testen nehmen - warum finden Ihre ausgebildeten Tester und Coder nicht die Fehler, die Hacker und Bugjäger aufspüren?

CULP: Akkurate Sicherheitstests sind unheimlich schwierig - sowohl für Microsoft als auch für alle anderen. Man kann sich nicht allein auf eine Nachprüfung des Codes verlassen, um die Sicherheit eines Systems zu verifizieren. Man kann eigentlich nur Nutzungsmuster nachahmen und auf diese Weise Fehler aufspüren. Es gibt aber immer Leute, die ein Produkt anders verwenden als von uns geplant. In solch ungewöhnlichen Szenarien werden die meisten Bugs entdeckt.

PCW: Aber Hacker tendieren dazu, immer wieder die gleichen Muster zu verwenden. Warum ist Microsoft nicht in der Lage, deren Denke zu antizipieren?

CULP: Genau das tun wir.

PCW: Warum finden Sie dann nicht die Bugs, die die Hacker aufspüren?

CULP: Es wird immer Tests geben, die wir verpassen; es wird immer Implementierungsfehler geben, die wir machen. Wir lernen aber von Hackern und Sicherheitsberatern wie "Rain Forest Puppy" - wir arbeiten mit ihnen zusammen, um herauszufinden, warum sie ausprobieren, was wir nicht versucht haben. Und das lassen wir in unsere künftige Arbeit einfließen.

Was uns von praktisch jedem anderen Anbieter unterscheidet ist, dass wir unsere Fehler nicht verbergen. Wenn wir etwas falsch gemacht haben, dann erzählen wir das der ganzen Welt.

PCW: Ist es nicht eher so, dass sie gezwungen sind, Ihre Fehler offenzulegen? Was echte Beschreibungen von Sicherheitslöchern angeht, hat sich Microsoft in der Vergangenheit doch eher bedeckt gehalten.

CULP: Zuletzt nicht mehr. Das Response Center ist jetzt rund vier Jahre alt. Man kann darüber streiten, was wir davor gemacht haben, aber diese Stabsstelle haben wir eingerichtet, weil wir uns der Verantwortung gegenüber unseren Kunden bewusst waren und wir aufgrund unserer Marktposition eine besondere Bringschuld hatten.

PCW: Es gibt ein paar Bug-Sucher, die behaupten, sie seien mit ihren Fehlermeldungen von Microsoft total ignoriert worden.

CULP: Wir beantworten jede einzelne Mail an secure@microsoft.com. Manchmal checken wir eine Meldung und sagen: Sorry, das ist kein Sicherheitsproblem. Manchmal widersprechen sie uns, und dann gibt es eine Diskussion, an deren Ende wir unterschiedlicher Ansicht sind. Aber wir ignorieren keinen Report, den wir bekommen.

PCW: Die Öffentlichkeit macht sich allerhand Sorgen, dass es für viele Produkte - Arzneimittel, Autos etc. - rigide Sicherheitsstandards gibt, nicht aber für Software.

CULP: Auch Dinge, die wir schon ewig lange machen, haben noch Fehler. Sogar bei Autos, die wir seit über 100 Jahren bauen, gibt es immer wieder technische Pannen. Betriebssysteme und Anwendungssoftware machen wir gerade erst seit 35 oder 40 Jahren. Wirklich nicht sehr lange. Und das sind die komplexesten Dinge, an die sich die Menschheit bislang herangewagt hat.

PCW: Ein Raketenbauer könnte das anders sehen.

CULP: Einer meiner Informatikprofessoren hielt große Dinge auf eine Studie, die die seinerzeit kompliziertesten drei Dinge listete, die der Mensch zuwege gebracht hatte: Die Mondlandung von Apollo elf lag auf Platz drei, Nummer zwei war das Vermittlungssystem von Bell und auf Platz eins lag der "PL1"-Compiler.

PCW: Wenn also Betriebssysteme das Komplizierteste sind, was die Menschheit geschaffen hat, und wir nicht erwarten können, dass diese sicher sind - was tun?

CULP: Man etabliert einen Reaktionsprozess wie wir es getan haben. Man macht ein Produkt so gut wie man kann. Man verbessert kontinuierlich den Entwicklungsprozess und ist dabei und beim Testen state-of-the-art. Und man erkennt an, dass man einfach niemals fertig ist - man hat ein Produkt, über dessen gesamten Lebenszyklus hinweg man immer wieder Fehler entdeckt und beheben muss.

Office XP enthält zwei Features, die wir auch in Windows XP eingebaut haben. Zum einen verschickt das Produkt mit Zustimmung des Nutzers einen Fehlerbericht an Microsoft, wenn es abstürzt. Dabei werden keinerlei persönliche Daten übertragen. Außerdem zieht das Produkt automatisch jeden Monat ein Update, das alle in diesem Zeitraum veröffentlichten Fixes enthält. Das Programm fragt Sie: "Wollen Sie jetzt das Oktober-Update für Office XP?", ohne dass Sie sich um jede Korrektur im einzelnen scheren müssten. Wenn Sie genau wissen wollen, was da behoben wird, steht Ihnen das natürlich frei. Das entwickelt sich langsam in Richtung selbstheilender Software.