Wird Windows jemals sicher?

Den IT-Administratoren bereitet es heutzutage die schlimmsten Kopfschmerzen, Windows für das Internet sicher zu machen. Es werden ungeheure Anstrengungen unternommen, System-Patches, Antivirus Updates und E-Mail-Filter zur Verfügung zu stellen. Dies ist für rivalisierende Anbieter von Betriebssystemen geradezu ein Geschenk, denn diese bieten ihre Produkte ausnahmslos als eine Möglichkeit an, die ernsthaften Sicherheitsprobleme, mit denen Windows behaftet ist, zu umgehen. Der
Einbau einer Antivirensoftware, wie MS sie jetzt plant, ist auch keine Lösung: Antivirenprogramme beseitigen keine Sicherheitslecks.

Seltsam an der Geschichte ist, dass alle auf NT basierenden Versionen von Windows schon als “sicher” konzipiert waren. Das NTFS-Dateisystem unterstützt 12 unterschiedliche Zugangsrechte für jede Datei oder jeden Ordner pro Person. Leider jedoch wird diese Sicherheit bei einer Unmenge von Windows-Installationen unterlaufen, weil der eingeloggte Nutzer mit lokalen Administratorenrechten arbeitet. Das heißt, ein versehentlicher Click auf einen Web-Dialog kann zu einem Angriff von Malware führen.

Es ist möglich, den Windows Nutzern restriktivere Zugangsrechte aufzuzwingen – bei den gut eingerichteten Windows-Netzwerken wird dies auch in die Tat umgesetzt. Leicht ist das aber nicht, denn bei vielen Anwendungen wird noch immer davon ausgegangen, dass der Nutzer vollständige lokale Rechte besitzt.

Selbst im Hause Microsoft darf jeder alles – das ist kein gutes Vorbild
Selbst Microsoft hat sich dieser Herausforderung für sein eigenes Unternehmen noch nicht gestellt.

Ende letzten Jahres habe ich mit Bob Davis gesprochen – er ist Generaldirektor von Microsoft’s Betriebsbereich “Global Technology Services” – mit anderen Worten: Er trägt die Verantwortung für die gesamte IT-Infrastruktur des Unternehmens. Ich habe ihn gefragt, wie viele Mitarbeiter von Microsoft auf der Basis von lokalen Administratorenrechten arbeiten. “Fast jeder”, war die Antwort. “Wenn wir den Desktop verriegeln würden, könnte unsere Firma nicht so beweglich sein – insbesondere, weil die Nutzer von Microsoft im Großen und Ganzen auf einem technisch sehr hohen Niveau stehen. Wir fallen etwas aus dem Rahmen und ich würde dies nicht jedem empfehlen.”

Ist das “Turnschuhnetzwerk” verlässlicher?
Mir gab Bob’s Antwort Grund zur Sorge. Ein Problem ist: Wenn die eigenen Mitarbeiter von Microsoft auf der Basis von lokalen Administratorenrechten arbeiten, laufen sie gar nicht erst Gefahr, mit den Problemen konfrontiert zu werden, die andere Nutzer haben, deren Rechte beschränkter sind. Das heißt, es ist nicht sehr wahrscheinlich, dass Probleme gelöst werden. Probleme mit Rechten können sehr subtil und schwer zu lösen sein, demzufolge geben es manche Unternehmen einfach auf und kehren zur vollständigen lokalen Arbeit zurück – das “Turnschuhnetzwerk” scheint verlässlicher zu sein.

Im Bereich Software-Sicherheit konnte Microsoft wesentliche Fortschritte erzielen. For zwei Jahren kam der Windows 2003-Server auf den Markt zusammen mit IIS 6.0, wofür relativ selten Security-Alerts gemeldet wurden. Service Pack 1 mit weiteren Sicherheitslösungen ist jetzt im Betastadium.

Dagegen bekamen wir im vorigen Jahr Windows XP2, gleich mit einer Unmenge von Veränderungen, einschließlich einer aufpolierten Firewall, einer Blockiervorrichtung für Popups im Internet-Explorer und einer besseren Kontrolle von E-Mail-Anhängen.

Kürzlich hat Microsoft sein erstes Antispyware Produkt (BETA) herausgebracht, weniger als einen Monat, nachdem sie die Technologie durch die Übernahme von Giant Company Software erworben hatten. Ich habe es ausprobiert und es ist gut. Die Software macht einen ordentlichen Job bei der Desinfektion, läuft im Hintergrund ohne die Systemleistung zu bremsen und holt sich selbständig und leise die Updates vom Internet.

Auch sollten die beeindruckenden Sicherheitsfeatures, die in das .Net Framework – Microsoft’s Antwort auf Java – eingebaut worden sind, nicht unerwähnt bleiben.

Aber dennoch muss Microsoft Windows weiter verbessern, so dass begrenzte Nutzerrechte der Standard sind – sowohl für Nutzer zu Hause als auch im Geschäftsleben, wie dies bei Unix gelöst wurde. Die anstehende Longhorn-Version bietet dafür vielleicht die letzte Möglichkeit.

Ansonsten wird Windows nie sicher und die Kunden sehen sich einfach anderswo um.