Wenn in San Francisco die Erde bebt, ist das nichts Ungewöhnliches. Manche finde es da schon überraschender, wenn Bill Gates die Eröffnungsrede einer IT-Sicherheitskonferenz hält: Microsoft und Security gelten bisher nicht gerade als Synonyme. Immerhin präsentierte der Chairman und Chief Software Architect des Herstellers auf der RSA Security Conference aber seinen Zuhörern einige Sicherheitsverbesserungen, die das für diesen Sommer geplante "Service Pack 2 für Windows XP" bringen soll (siehe Seite 18: "RSA Conference: Keine Chance für Hacker") und gab einen Ausblick auf kommende Security-Erweiterungen für Windows. Dazu gehören "Active Protection Technology", "Dynamic System Protection" oder ein Verfahren zum Erstellen von manipulationssicheren Ausweisen.
Der Manager beteuerte vor den Zuhörern, Sicherheit sei für sein Unternehmen "das derzeit wichtigste Thema". Während des letzten Jahres habe es "eine Menge Fortschritte" gegeben, doch entscheidend seien letztlich "die richtigen Tools und Prozesse". "Dieses Umfeld ist von Maßnahmen und Gegenmaßnahmen bestimmt", verteidigte Gates die ständigen Sicherheits-Updates für seine Betriebsysteme und Programme, die IT-Spezialisten rund um den Globus auf Trab halten.
Er räumte jedoch auch ein, dass sein Unternehmen in mancher Hinsicht versagt hat: "Wir haben unseren Kunden nicht ausreichend klar gemacht, dass ihre mit dem Internet verbundenen Systeme ohne ständige Updates nicht auskommen." Besonders für professionelle Anwender stelle dies eine enorme Herausforderung dar. Es gebe noch eine Menge zu tun, doch man befinde sich "auf dem richtigen Weg". Immerhin sei es gelungen, die Anzahl der Sicherheitsmeldungen zu reduzieren und Tools wie "Systems Management Server" (SMS) weiterzuentwickeln, die Administratoren bei der Verwaltung von Updates entlasten sollen.
Microsoft arbeite auch weiterhin an Techniken zur Behebung dieses Problems, die Bestandteile kommender Windows-Versionen sein sollen. Von der Dynamic System Protection war auf der Konferenz eine Demo zu sehen. Die Erweiterung soll erkennen können, wenn ein bestimmter Patch auf einem Rechner fehlt. Bis zur Installation des Updates deaktiviert das Tool die von der jeweiligen Schwachstelle betroffenen Funktionen des Betriebssystems. So soll es beispielsweise möglich sein, das Ausführen von Active X Controls vorübergehend zu unterbinden. Nach dem Aufspielen des Patches wird diese Restriktion automatisch wieder aufgehoben.
Kritik an Microsoft
Die Active Protection Technology ist dazu gedacht, auch ohne vorliegenden Software-Fix mehr Sicherheit zu bieten. Eine Behaviour-Blocking-Technik mache es möglich, ungewöhnliche Verhaltensweisen von Programmen zu erkennen und zu unterbinden. Dadurch ließen sich Angriffe von selbst abwehren, so Gates. Er betonte zudem, dass die nächste Version des Entwicklungs-Tools "Visual Studio .NET" (Codename "Whidbey") eine Funktion enthalten wird, mit der Programmierer den von ihnen geschriebenen Quellcode auf möglicherweise enthaltene Schwachstellen wie Speicherüberläufe überprüfen können.
Während Microsofts Bemühen um mehr Sicherheit generell begrüßt wurde, kritisierten Security-Spezialisten, dass Windows letztlich nur noch komplizierter und damit anfälliger für Attacken werde: Mike Rasmussen, Principal Analyst bei Forrester Research, hielt dagegen, dass es eine hundertprozentige Sicherheit niemals geben kann. Auch das Ergebnis von Microsofts Trustworthy-Computing-Initiative lasse sich erst nach dem Erscheinen von Longhorn, der frühestens 2005 erwarteten nächsten Betriebssystem-Generation, wirklich beurteilen.
Problem Patch-Management
Fakt ist, dass sichere Betriebssysteme und Applikationen bislang noch immer nur im Wunschdenken vieler Anwender existieren. Um das Risiko zu mindern, bleibt Anwendern letztlich nichts anderes übrig, als alle im Unternehmen vorhandenen Systeme regelmäßig zu patchen. Das ist leichter gesagt als getan, denn das Zeitfenster zwischen dem Entdecken einer Schwachstelle und der Verfügbarkeit eines entsprechenden Patches ist meist groß genug, um einen elektronischen Angriff zuzulassen. Dem von RSA Security erstellten "Security Index" zufolge beträgt diese Zeitspanne inzwischen weniger als 40 Tage.
Dennis Devlin, Chief Security Officer (CSO) von The Thomson Corp., weiß, wie schwierig es ist, mit den ständigen Updates Schritt zu halten: "Die heutigen Systeme sind so kompliziert, dass wir nicht einfach ohne weiteres einen neuen Patch aufspielen können." Niemand komme um ausgiebige Tests herum. Davon sind bei weitem nicht nur Microsoft-Systeme betroffen. Wie Ben Laurie, Director der Apache Software Foundation, schildert, existiert dieses Problem auch in der Open-Source-Welt, bloß gibt es hier "keine koordinierte Vorgehensweise, um Abhilfe zu schaffen".
Diskussion um Web-Services
Automatischem Patch-Management, wie es einige Hersteller derzeit propagieren, erteilen Experten vorerst noch eine Absage: "Die meisten Anwender wollen keine automatischen Patches, obwohl das im Grunde eine große Hilfe wäre", betont Mary-Ann Davidson, bei Oracle für Sicherheit zuständig. Howard Schmidt, CSO bei Ebay, fasst zusammen: "Patch-Management bereitet uns allen große Schmerzen. Die Situation hat sich zwar schon gebessert, ist aber noch lange nicht optimal."
Mit dieser Aussage ließe sich auch der Status quo im Hinblick auf die Sicherheit von Web-Services beschreiben. Nach wie vor diskutieren Hersteller und Anwender intensiv darüber, wie diese so implementiert werden können, dass sie über ausreichend Schutz vor Missbrauch und Attacken verfügen. Vor allem über Sicherheitsstandards herrscht Unklarheit. Zwar gibt es technische Möglichkeiten, mit denen sich die Probleme um Verschlüsselung, Authentifizierung oder Unwiderrufbarkeit von Transaktionen lösen ließen. Die Branche ist aber zerstritten, wenn es darum geht, welche Spezifikation am besten geeignet ist. "Das verunsichert die Anwender, sie machen sich Gedanken um die Standards und befürchten Interoperabilitätsprobleme", erklärt Ray Wagner, Research Director bei Gartner.
Lösungen in Sicht
Es ist jedoch Bewegung im Spiel: Die Web-Services Interoperability Organization (WS-I) arbeitet beispielsweise daran, bestehende Normen einzudampfen, um den Interpretationsspielraum bei der Implementierung zu beseitigen und die Aussicht auf ein erfolgreiches Zusammenspiel zu erhöhen. Das Gremium legte in San Francisco einen ersten Arbeitsgruppenentwurf für die Interoperabilität eines Security-Szenarios vor. Wie Hal Lockhart, Senior Engineering Technologist Principal bei Bea Systems, erklärt, enthält dieses Papier "alle existierenden Gefahren und Herausforderungen für Web-Services" sowie Tipps für Unternehmen, wie sie Gegenmaßnahmen treffen können.
Ermutigend war in diesem Zusammenhang auch eine Interoperabilitäts-Demonstration, bei der elf Hersteller bewiesen, wie Version 1.1 der Security Assertions Markup Language (SAML) in einem heterogenen Umfeld eingesetzt werden kann, um Single-Sign-on für Web-Services zu realisieren.