Vor mehr als fünf Jahren hat Apple sein Mobil-Betriebssystem iOS vorgestellt und 2008 im Zuge der Version 2 seinen App Store eröffnet. 2009 wurden in Version 3 etliche Sicherheitsfunktionen nachgerüstet und in den Versionen 4 (2010), 5 (2011) und 6 (2012) dann sukzessive weiterentwickelt. In der Sicherheitsgemeinde anfangs oft geschmäht, bieten die iOS-Funktionen mittlerweile einen recht guten Schutz gegen die diversen Bedrohungen des mobilen Alltags. Google hat mit seinem Betriebssystem Android 2008 zwar schnell nachgezogen, sicherheitstechnisch vergleichsweise aber eine weniger ambitionierte Leistung abgeliefert.
Microsoft hat sich mit Windows 8 nun viel vorgenommen und will sich die Innovationskrone im Bereich der Betriebssysteme wieder zurückerobern - auch im Bereich Sicherheit. In diesem Artikel werden die Neuerungen von Windows 8 in Sachen Sicherheit vorgestellt und mit dem Platzhirsch iOS 6 verglichen.
Sichere Apps
Microsoft führt mit Windows 8 eine neue, plattformübergreifende Applikationsarchitektur ein, welche "Windows Runtime" oder kurz "WinRT" genannt wird. Sie stellt die Basis für die neuen "WinRT-Apps" dar, die über den Windows Store bezogen werden können und neuen grafischen Richtlinien des Designs entsprechen. WinRT wird neben Windows 8 und Windows Server 2012 auch Bestandteil des kommenden Windows-Phone-8-Betriebssystems sein und ermöglicht damit ein einheitliches Look and Feel auf allen Gerätetypen. WinRT-Applikationen wurden von Microsoft während des Entstehungsprozesses von Windows 8 lange Zeit erst als "Metro-Apps", danach als "Metro-Style-Apps" bezeichnet. Inzwischen ist man aber von dieser Bezeichnung abgerückt, ohne eine neue vorzugeben.
Das Konzept für Metro-Style-Apps entspricht weitgehend dem, das Apple mit seiner iOS-Plattform eingeführt hat:
• Apps werden immer in einem zugriffsbeschränkten Kontext ("Sandbox") ausgeführt.
• Das Betriebssystem stellt einer App nur eine beschränkte Menge an Funktionen zur Verfügung.
• Eine App darf viele dieser Funktionen nur nutzen, wenn der Entwickler dies offen "anmeldet" und die App die entsprechenden Funktionen nachvollziehbar benötigt.
• Jede App hat einen getrennten Speicherbereich für ihre Daten, auf den ausschließlich sie selbst zugreifen kann.
• Apps können untereinander nur über fest vorgegebene Wege Daten austauschen.
• Apps können nur über einen zentralen Store bezogen werden und werden vor Veröffentlichung von Microsoft anhand verschiedener Kriterien geprüft.
• Unternehmen haben für ihre eigenen Geräte die Möglichkeit, eigene "Line-of-Business-Apps" am zentralen Store vorbei auf den Geräten zu installieren.
Gegenüber iOS gibt es aber bei Windows 8 auch einige Unterschiede:
• Das System ist grundsätzlich für Mehrbenutzerbetrieb ausgelegt. Jeder Anwender hat dabei Zugriff auf seine eigenen Einstellungen, Daten und Apps.
• Die Programmdateien der Apps sind pro System nur einmal vorhanden und werden unabhängig von den Benutzer-Accounts verwaltet. Ein Benutzer sieht eine bestimmte App aber erst, nachdem er sie selbst über den Store "installiert" hat (auch wenn sie auf dem System grundsätzlich schon vorhanden war).
• Die von Apps gespeicherten Daten und Einstellungen werden getrennt von den Programmdateien verwaltet (bei iOS wird alles im selben Verzeichnis abgelegt).
Die WinRT-Umgebung beschränkt den Dateisystemzugriff von Metro-Style-Apps auf wenige Bereiche im Dateisystem des lokalen Rechners. Zusätzlich sind einige Netzbereiche für Metro-Style-Apps zugänglich. Auf viele dieser Orte kann eine Metro-Style-App nur zugreifen, wenn der Entwickler dies im Rahmen der Applikationsentwicklung entsprechend vorgesehen hat. Der Benutzer kann die jeweils angeforderten Zugriffsberechtigungen im Microsoft Store vor der Installation der App einsehen.
Neben den standardmäßig verfügbaren Zugriffsrechten besteht für Metro-Style-Apps zusätzlich die Möglichkeit, dass der Benutzer über standardisierte Dateiauswahldialoge der App weitere Dateien zugänglich macht. Für diese Dateiauswahldialoge gelten nicht die beschränkten Zugriffsrechte der App, sondern die regulären Berechtigungen des Benutzers. Ähnlich wie bei vielen anderen Zugriffen auf ein Dateisystem durch eine App gilt jedoch auch hier die Beschränkung auf bestimmte Dateitypen, die vorher vom Entwickler der App in deren Applikationsmanifest definiert worden sein müssen.
Innerhalb der "Musik"-App werden in den Dateiauswahldialogen nur Musikdateien (zum Beispiel MP3 oder AAC) zur Auswahl angeboten, andere Dateitypen (beispielsweise Bilder oder ausführbare Dateien) kann der Benutzer hier nicht auswählen. Damit nun der Anwender einer App eine regelmäßig geöffnete Datei nicht bei jedem Zugriff wieder neu über den Dateiauswahldialog "zeigen" muss, hält die App diese Datei in einem speziellen Cache vor, der für 25 Objekte Platz hat. Die Einträge sind für die App "transparent" in Bezug auf den Speicherort der Datei und "überleben" selbst Umbenennungen oder Verschiebungen.
Zusätzlich können Apps auch untereinander sogenannte "App Contracts" (Verträge) schließen. Zwei Apps, in denen derselbe Vertrag implementiert ist, können interagieren, um sich zum Beispiel gegenseitig Dateien freizugeben, eine Suche zu ermöglichen oder direkt Daten auszutauschen.
Neben der regulären Installation über den Microsoft Store können Unternehmen ihre selbstentwickelten und -zertifizierten Apps auf ihren eigenen Geräten installieren. Diese Funktion ist in der Enterprise-Version von Windows 8 grundsätzlich verfügbar, für die Pro-Version ist der Erwerb einer zusätzlichen Lizenz erforderlich.
Mit dem neuen System übernimmt Windows 8 die Vorteile von iOS wie den "Walled Garden" (Installation von Software nur aus bestimmten Quellen in Zusammenhang mit einer umfassenden Softwaresignatur und einer Prüfung im Store) und das "Sandboxing" (Anwendungen laufen getrennt voneinander und können nur über definierte Betriebssystem-Schnittstellen miteinander kommunizieren). Gleichzeitig werden die puristischen Konzepte von Apple von Anfang an für Mehrbenutzerbetrieb und den Einsatz in Unternehmen erweitert. Auch die Kommunikation von Apps untereinander und der Zugriff aus der Sandbox auf das Filesystem werden - unter Wahrung der Sicherheit - sinnvoll ausgedehnt.
Browser, PDF und Flash
In Windows 8 ist der Internet Explorer 10 enthalten. Dieser wurde mit einem "Enhanced Protected Mode" ausgestattet, der die Sicherheit mit einem verbesserten Smartscreen-Filter, einem XSS-Filter, dem Support für HTML5-Sandbox und weiteren Defense-in-Depth-Maßnahmen konsequent verbessert.
Microsoft liefert zusammen mit Windows 8 eine Metro-Style-App namens "Microsoft Reader" aus. Diese unterstützt neben dem XPS-Format auch die Anzeige von PDF-Dokumenten, auch solchen mit Kennwortschutz. Damit erhält nun auch Windows einen integrierten PDF-Viewer, der für die meisten Anwendungsfälle einen ausreichenden Funktionsumfang bietet, in einem zugriffsbeschränkten Kontext ausgeführt und direkt vom Hersteller des Betriebssystems gepflegt wird. Unklar ist bisher jedoch, wie das Aktualisierungsverfahren im Falle eines Sicherheits-Updates sein wird. Der automatische Weg über Windows Update beziehungsweise WSUS erfasst derzeit keine Metro-Style-Apps, für diese werden Aktualisierungen normalerweise über den Microsoft Store verteilt. Hier ist jedoch bislang keine automatische Aktualisierung vorgesehen, Updates müssen vom Anwender manuell eingespielt werden.
Die mit Windows 8 ausgelieferte Version 10 des Internet Explorer kann "ab Werk" Flash-Inhalte auf Web-Seiten anzeigen. Anders als zum Beispiel Google, das diese Funktionalität durch Bereitstellen eines integrierten Plug-ins in seinem Chrome-Browser ermöglicht, liefert Microsoft zusammen mit Windows 8 die Version 11.3.372.94 des Adobe Flash Players aus. Hierbei handelt es sich offenbar nicht um eine von Microsoft angepasste Version, sondern um die Originalversion von Adobe (inklusive dem Control Panel Applet). Das mitgelieferte Flash-Plug-in kann unter Windows 8 nicht deinstalliert werden, es besteht aber die Möglichkeit, es mittels Group Policies oder über das Menü "Add-Ons verwalten" zu deaktivieren. Auch im aktivierten Zustand funktioniert das Plug-in nur auf bestimmten Web-Seiten, die von Microsoft geprüft und freigegeben wurden. Im Gegensatz zur Stand-alone-Version des Plug-ins werden Sicherheits-Updates für die in Windows 8 integrierte Version direkt über Windows Update verteilt. Vor dem Verkaufsstart wurde die Flash-Version allerdings nur stiefmütterlich gepflegt. Es bleibt zu hoffen, dass mit dem offiziellen Launch von Windows 8 neue Versionen des Plug-ins etwas schneller zur Verfügung gestellt werden.
Die Entscheidung, das Adobe-Flash-Plug-in zusammen mit Windows 8 auszuliefern, ist vermutlich vor dem Hintergrund zu sehen, dass unter dem Metro-Style-Betriebsmodus des Internet Explorer keine durch den Benutzer installierten Plug-ins von Drittanbietern unterstützt werden, Microsoft aber bei auf Flash basierenden Inhalten anscheinend keinen so drastischen Schnitt wie Apple auf der iOS-Plattform vollziehen wollte.
Cloud-Integration
Microsoft möchte dem Windows-8-Benutzer das Gefühl geben, "always connected" zu sein. Dazu zählt auch, dass seine wichtigen Daten und Einstellungen möglichst immer auf all seinen Geräten zur Verfügung stehen. Um dies zu unterstützen, kennt Windows 8 neben dem traditionellen lokalen Benutzerkonto einen neuen Typ: das Microsoft-Konto. Dies ist die neue Bezeichnung für die gute alte Windows Live ID, die man zum Zugriff auf die verschiedenen Online-Dienste von Microsoft wie den Store, Live Mail oder den SkyDrive-Service benötigt. Verwendet man dieses Konto zur Anmeldung am eigenen Windows-8-Rechner (oder stuft ein bestehendes lokales Konto durch Verknüpfung mit einer Windows Live ID zu einem Microsoft-Konto hoch), hat dies zwei Auswirkungen: Zum einen erhalten alle Microsoft-Apps transparent Zugriff auf die jeweiligen Online-Dienste, ohne nochmals separat nach einem Kennwort fragen zu müssen; zum anderen wird unter den "PC-Einstellungen" der Bereich "Einstellungen synchronisieren" verfügbar.
Innerhalb dieses Bereichs kann der Benutzer verschiedene Einstellungen auswählen, die an andere Geräte übertragen werden sollen, an denen er mit dem gleichen Konto angemeldet ist (zum Beispiel ein zusätzliches Windows-8-Tablet). Der Auswahlbereich reicht von Desktop-Anpassungen und Browser-Einstellungen bis hin zum Kennwort für das lokale Heimnetz, wobei jeder Bereich separat an- oder abgewählt werden kann. Im Gegensatz zu den anderen Bereichen werden Kennwörter nicht automatisch bei der ersten Anmeldung auf neue Geräte übertragen, sondern muss das jeweilige Gerät dafür zuerst als "vertrauenswürdig" eingestuft werden. Im Rahmen dieser Synchronisierung können auch Daten der installierten Metro-Style-Apps übertragen werden. Jeder App steht dazu ein eigener Speicherbereich ("Roaming Settings") zur Verfügung, in dem sie Daten ablegen kann, die zwischen allen Geräten des Benutzers repliziert werden sollen. Dieser Speicherbereich ist derzeit jedoch pro Applikation auf 100 KB begrenzt, eignet sich also nicht für Benutzerdaten wie Dokumente oder Musik; diese müssen über SkyDrive verteilt werden.
Authentifizierung
Neben der klassischen Anmeldung mittels Kennwort bietet Windows 8 zwei neue Anmeldetechniken, die für Gerätetypen mit Fingerbedienung (Mobiltelefon und Tablet) besser geeignet sind. Eine davon ist die Möglichkeit, sich mittels einer vierstelligen PIN anzumelden. Diese Methode ist zwar schnell und einfach, bietet jedoch nur einen geringen Schutz vor Angreifern. Demgegenüber verspricht die zweite Methode, die auf Gesten basierende Anmeldung auf Grundlage eines selbstgewählten Bildes, einen vergleichbar hohen Schutz wie die Verwendung eines starken Kennworts bei gleichzeitig minimalem Eingabe-Aufwand. Microsoft nennt diese Anmeldetechnik "Picture Password" beziehungsweise "Bildcode" (in der deutschsprachigen Windows-Variante).
Obwohl die Anmeldung mittels Bildcode für den Einsatz auf Tablets und Smartphones gedacht ist, lässt sie sich auch auf Geräten mit Mausbedienung verwenden. Zum Einrichten muss der Anwender seine Kontoeinstellungen aufrufen und dort die Funktion "Bildcode erstellen" auswählen. Anschließend muss er sein aktuelles Kennwort eingeben und darf danach ein Bild aus seiner Bildersammlung auswählen. Das gewählte Bild wird anschließend in der Größe justiert, so dass es rund zwei Drittel des Bildschirms abdeckt. Zu kleine Bilder werden bei dieser Skalierung arg unansehnlich, man sollte also möglichst ein Bild wählen, dessen Auflösung mindestens der des verwendeten Geräts beziehungsweise Bildschirms entspricht; für die Sicherheit der Funktion spielt dies jedoch keine Rolle.
Foto: Corporate Trust
Die Bildfläche wird für den Benutzer unsichtbar in ein Blockraster unterteilt. Der Benutzer muss auf diesem Bild nun eine Kombination aus drei Gesten zeichnen, die aus geraden Linien, Kreisen und Tippbewegungen bestehen darf. Bei der Anmeldung per Bildcode wird eine zweistufige Prüfung durchgeführt. Als Erstes werden die gezeichneten Gesten als solche betrachtet. Falls eine der Gesten komplett falsch ist (hinsichtlich Typ, Reihenfolge oder Zeichenrichtung), schlägt der Anmeldeversuch direkt fehl. Sofern die gezeichneten Gesten grundsätzlich richtig sind, werden im zweiten Schritt die beim Zeichnen der Gesten berührten Quadratfelder ausgewertet. Durch einen Vergleich mit den gespeicherten Werten wird dann der Grad der Abweichung zu den jeweiligen Referenzgesten bestimmt.
Auf mathematischer Ebene hat Microsoft als Basis für eine Bewertung der Sicherheit dieses Anmeldeverfahrens die Anzahl möglicher "unique gestures" ermittelt (basierend auf der Anzahl möglicher Positionen und der "Nachgiebigkeit" des dahinter stehenden Algorithmus) und diese den möglichen Variationen bei klassischer Passwort- beziehungsweise PIN-basierenden Anmeldung gegenübergestellt. Dabei zeigt sich, dass die Bildcode-Methode bei der aktuell von Microsoft verwendeten Variante mit drei Gesten eine Varianz erreicht, die grob mit der eines fünf- bis sechsstelligen komplexen Kennworts vergleichbar ist. Natürlich bleiben die typischen Probleme der Touch-Eingabe: Durch Spuren auf dem Bildschirm oder Beobachten der Eingabe kann die Sicherheit der Authentisierung deutlich sinken.
Die Anmeldung per Bildcode steht grundsätzlich auch für auf Domänen basierende Benutzerkonten zur Verfügung, kann aber bei Bedarf mittels Group Policy deaktiviert werden. Eine Erhöhung der Anzahl erforderlicher Gesten auf mehr als drei wird bisher leider nicht unterstützt.
Veränderungen am Betriebssystem
Moderne PCs und Laptops werden zunehmend mit einer UEFI-Firmware anstelle des klassischen BIOS ausgeliefert. Neben einer deutlich größeren Funktionsvielfalt bietet diese Plattform die Möglichkeit, die Integrität des installierten Betriebssystems vor und während des Startvorgangs zu prüfen. Hierzu werden klassische PKI-Funktionen eingesetzt, um einerseits die Integrität der einzelnen Komponenten zu gewährleisten und andererseits deren Authentizität anhand einer Liste vertrauenswürdiger Zertifikate sicherzustellen.
Dies versetzt Unternehmen nun erstmals in die Lage, eine Windows-Desktop-Plattform bereitzustellen, die eine durchgängige Validierung und Integritätsprüfung sämtlicher Softwarekomponenten erlaubt. Auf Betriebssystem-Ebene ließ sich dies grundsätzlich auch schon unter Windows 7 realisieren (unter anderem mittels entsprechender AppLocker-Policies), jedoch bestand hier immer noch eine Schutzlücke in der Boot-Phase, also dem Zeitraum vom Einschalten des Geräts bis zum vollständigen Laden der Betriebssystem-Umgebung. In dieser Phase konnte das System durch entsprechende Malware (sogenannte Rootkits) auf einer Ebene kompromittiert werden, die eine Entdeckung dieses Vorgangs aus dem laufenden Betriebssystem heraus schwierig bis unmöglich machte.
Aufsetzend auf die Secure-Boot-Umgebung der UEFI-Firmware, hat Microsoft in Windows 8 die Abläufe des Startprozesses dahingehend erweitert, dass eine durchgängige Prüfkette über alle Komponenten (UEFI-Firmware, Bootloader, Windows Kernel, Early Anti-Malware Modul, Windows Logon) gebildet wird. Zusätzlich wird während des Betriebs sporadisch geprüft, ob der Zustand des Betriebssystems unverändert ist.
Zur Laufzeit kann die weitere Integrität des Systems mittels der bekannten Maßnahmen sichergestellt werden. Dazu zählen die Beschränkung der Programmausführung auf vertrauenswürdigen Code (zum Beispiel mittels AppLocker Policies, die nur die Ausführung von signierten Programmen vertrauenswürdiger Anbieter erlauben) und der Einsatz geprüfter Metro-Style-Apps aus dem Microsoft Store (siehe oben).
Verschlüsselung
Die Verschlüsselungssoftware für Festplatten "Bitlocker" ist nur in den Pro- und RT-Versionen von Windows 8 enthalten, bei RT ist sie dafür gedacht, eine Device-Encryption umzusetzen (à la Apple), und kann hier auch mit hardwareverschlüsselten Platten/SSDs/Flashspeichern zusammenarbeiten. Bei auf Windows-RT basierenden Tablets scheint die Encryption ab Werk aktiviert und nicht abschaltbar zu sein, bei PCs kann Bitlocker jetzt schon in der Installationsphase aktiviert werden.
Dazu gibt es nun eine "Disk-Space-Only"-Option, bei der nur der tatsächlich belegte Speicherplatz verschlüsselt wird und nicht erst auf die Komplettverschlüsselung gewartet werden muss. Eine Änderung der Bitlocker-PIN beziehungsweise des Passworts ist jetzt auch unter Standard-Benutzer-Accounts möglich. Darüber hinaus kann in Verbindung mit Windows Server 2012 ein Windows-8-Bitlocker-Client so konfiguriert werden, dass das System ohne Passwort-/PIN-Eingabe startet, sofern es am Firmennetz angeschlossen ist. Ein Backup der Recovery-Informationen kann optional im SkyDrive-Account des Benutzers gespeichert werden. Ein Wipe ist im Zweifelsfall mit einem entsprechenden Recovery-Passwort wieder rückgängig zu machen.
Auf Applikationsebene können Metro-Apps die Klasse "Encrypted And Authenticated Data" verwenden, um Datenverschlüsselung zu realisieren. Eine Integration zwischen Apps und Betriebssystem-Verschlüsselung und der entsprechenden Schlüsselverwaltung analog zu iOS existiert in Windows 8 nicht.
Weitere Windows-8-Innovationen
Unternehmen haben die Möglichkeit, ihre regulären Installations-Images für Windows 8 auf USB-3.0-Sticks mit dem Logo "Certified for Windows to Go" zu installieren. Dieser Betriebsmodus eignet sich für alle Szenarien, in denen Mitarbeiter einen Unternehmensarbeitsplatz losgelöst von der Hardware verwenden müssen. Dies kann beispielsweise eine Lösung für Heimarbeitsplätze sein oder der "Business Continuity" im Fall von größeren Schadensereignissen (zum Beispiel einem Brand) dienen. Auch für ByoD-Szenarien erscheint diese Betriebsart interessant.
"Windows-to-Go"-Installationen verhalten sich exakt so wie reguläre Windows-8-Installationen und unterstützen bis auf wenige Ausnahmen alle Funktionen. Benutzer können ihre gewohnten Desktop- beziehungsweise Metro-Style-Applikationen verwenden, und die Windows-Umgebung kann ganz regulär ins Unternehmensnetz eingebunden werden. Natürlich erfordert der Einsatz dieser Funktion eine sicherheitstechnisch sinnvolle Konfiguration, um einen ordentlichen Schutz vor Informationsverlust zu gewährleisten.
Fazit
Microsoft hat sich die Konkurrenz genau angesehen und sein Betriebssystem sicherheitstechnisch entscheidend weiterentwickelt. Die Sicherheit von Apps ist auf der Höhe der Zeit, in Bezug auf den Unternehmenseinsatz und die Kommunikation untereinander sogar deutlich weiterentwickelt. Und die Idee des "Picture Password" zeigt einen ersten Ausweg aus der wachsenden Passwort-Misere.
Natürlich erweist sich die notwendige Abwärtskompatibilität in die "alte" Welt der bisherigen Windows-Software als Hemmschuh in Sachen Sicherheit, der uns noch lange begleiten wird. Dies ist umso problematischer, als im Bereich der Verschlüsselung eine bessere Zusammenarbeit mit den Applikationen noch fehlt. Und auch die Cloud-Integration wird sicherheitstechnisch gut konfiguriert und gesteuert werden müssen.
Insgesamt befindet sich Windows 8 auf der konzeptionellen Ebene in puncto Sicherheit auf Augenhöhe mit iOS 6, bietet im Vergleich aber eine bessere und nahtlosere Enterprise-Integration. Damit hat Windows 8 das Potenzial, sich im Unternehmensbereich als feste Größe auf Tablets und Smartphones zu etablieren. (pg)