IT-Security
Microsoft stellt sich den Browser-Problemen

BrowserIT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagementWorkspace

Die Massenmigration zu Windows XP könnte zur ernsthaften Security-Frage für die User werden.

IT-Security

Neue Woche, neuer Sicherheits-Patch! Microsoft ist gezwungen, schon wieder einen Patch zu veröffentlichen, der ein Loch im Web-Browser Internet Explorer 6 stopfen soll. Der IE verfügt damit über einen beeindruckenden Rekord an Löchern: Mehr als 150 seit dem 18. April 2001. Was dazukommt ist, dass es sich nicht einmal um eine endgültige Lösung für das neueste Beispiel aus dem Katalog der Sicherheitslücken und Hintertüren handelt, die durch ein vermeintlich harmloses, aber essentielles Stück PC-Software entstehen.

Auf der Microsoft-Entwicklerkonferenz TechEd in Amsterdam habe ich mir Anfang diesen Monats die Zeit genommen, darüber eine offenen Diskussion mit Detlef Eckert zu führen. Eckert ist Senior Director of Trustworthy Computing bei Microsoft. Wir sprachen über die fortwährenden Sicherheitsprobleme, unter denen der größte Software-Entwickler der Welt leidet.

Im Moment widmet sich das Unternehmen nahezu fanatisch der Fertigstellung von Service Pack 2 für Windows XP, dem am stärksten auf Sicherheit fokussierten Update, den die Firma je für eines ihrer Produkte herausgebracht hat. Das neue Service Pack wird eine neue, leistungsfähigere Firewall vorstellen mit Basis-Funktionen für vorausschauendes Scannen, und es wird fast jede verfügbare Sicherheitsfunktion einschließlich der Firewall standardmäßig aktivieren. Außerdem werden mit einer kombinierten Patch-Installation viele der bestehenden Sicherheitslücken des Betriebssystems geschlossen. User, die das Service Pack installieren, können damit jede Nachlässigkeit beim Patchen im letzten Jahr ausgleichen.

“Service Pack 2 erweitert die Sicherheit von Windows XP deutlich, was einen Großteil der Viren, Würmer und anderer illegaler Codes davon abhalten wird, den Browser anzugreifen. Sicherheitsschwachstellen im Browser selbst werden nicht beseitigt, aber es entsteht eine wichtige Barriere zwischen dem Browser und Sicherheitsattacken”, erklärt Eckert.

Microsoft ist besorgt, weil in diesem Jahr auf dem US-Geschäftsmarkt zu einem massiven Rollout von Windows XP für Desktop-Rechner kommen wird. In vielen Fällen wird dies auch die Massenmigration vom instabilen, aber sicheren IE 5 zum stabilen, aber inhärent unsicheren IE 6 bedeuten.

Während diese Entwicklung Zugang zu einem robusten Betriebssystem bietet (im Vergleich zu früheren Windows-Versionen), wird es den betroffenen Unternehmen neue Kopfschmerzen wegen des Patchens verschaffen, und einige bisher nicht angreifbare Unternehmen werden verletzlicher werden.

Dieses plötzliche Wachstum beim Einsatz des IE 6 wird den Unternehmen von Anfang an die schwere Last des Massen-Patchens aufbürden und ihnen bleibende Security-Kopfschmerzen verschaffen, da sie mit dem Patchen Hackern und Viren-Autoren einen Schritt voraus sein müssen oder wenigstens gleichziehen wollen.

Der Masseneinsatz von Windows XP im Business-Markt wird in diesem Jahr seinen Höhepunkt errechen. Daher ist das Bedürfnis nach einem neuen, verlässlichen Browser gewaltig – vor allem, da der IE 6 nach Software-Begriffen ein älteres Produkt ist; er ist fast drei Jahre alt.

Eckert räumt ein, dass das für Microsoft kein neuer Vorschlag ist, und dass viele User ähnliche Besorgnisse über den alternden Browser IE 6 geäußert hätten. Er fügt hinzu, das der Ersatz für Windows XP mit dem Code-Namen Longhorn im Jahr 2006 erscheinen soll und einen neuen Browser-Release beinhalten wird, wobei noch nicht klar ist, ob es sich dabei um eine neue Version des IE handeln wird oder um eine ganz neue Browser-Technologie.

Im letzten Jahr hat Microsoft endlich seine Niederlage eingeräumt und den schwächelnden Web-Server IIS 5 (Internet Information Server). IIS war sowohl für Microsoft- als auch für Windows-Server-Nutzer einständiges Problem, da es seit Jahren ernsthafte Probleme mit Sicherheit und Stabilität gab. Die Serie von Notfall-Patches, die 2002 und 2003 veröffentlicht werden mussten, um ein Bombardement von Hacker-, Viren- und Wurmattacken abzuwehren, zwang Microsoft dazu, das aktuelle Produkt einzustellen und es komplett neu zu schreiben, um es rechtzeitig in den Release von Windows Server 2003 einzubinden.

Der Web-Server IIS6 innerhalb von Windows 2003 ist ein komplett neues Code-Stück, und die Zeit, Kosten und Mühen, die darauf verwendet wurden, den Web-Server von Null auf neu zu entwickeln, wurden durch die Nachricht belohnt, dass IIS6 bisher kein einziges Mal geknackt wurde.

Nachdem Microsoft das größte Sicherheitsproblem auf der Server-Plattform gelöst hat, wird es Zeit, dass dasselbe auf dem Desktop passiert. Der Internet Explorer und seine Millionen User weltweit sollen aus ihrem gemeinsamen Elend erlöst werden.

Im Moment sieht es so aus, als müssten Unternehmen und User, die den Sicherheitsproblemen entkommen wollen, die dem IE auf der Fährte sind, das Undenkbare denken: Sie sollten sich überlegen, zu Netscape Navigator oder Mozilla oder dem hoch eingeschätzten Opera zu wechseln.