Auf dem Prüfstand: Microsofts Trustworthy Computing

Die meisten Administratoren kennen die im Januar von Bill Gates versandte E-Mail, in der Microsofts neue Strategie zur besseren Absicherung seiner Software erläutert wird. Diese Initiative trägt den Namen „Trustworthy Computing“. Nach nunmehr acht Monaten scheint es angebracht, Microsofts Fortschritte bei der Schaffung der angekündigten vertrauenswürdigen IT-Umgebungen zu bewerten.

Einsatzbefehl
Am 15. Januar 2002, um 14:22 Uhr versandte Bill Gates an die 50.000 Mitarbeiter von Microsoft ein E-Mail mit dem Betreff: Trustworthy Computing. Da Gates für gewöhnlich keine unternehmensweiten E-Mails verschickt, löste diese eine Menge Wirbel aus.

In der E-Mail forderte Gates die Architekten, Programmierer und Softwaretester von Microsoft dazu auf, bei der Entwicklung die Aspekte der Sicherheit und Zuverlässigkeit über Verbesserungen und Erweiterungen der Anwendungen zu stellen.

„Trustworthy Computing steht bei allen unseren Aktivitäten an oberster Stelle“, schrieb Gates, als er die neuen Unternehmensschwerpunkte Verfügbarkeit, Sicherheit und Privatsphäre umriss.

Microsoft hat in den letzten acht Monaten angeblich mehr als 100 Millionen US-Dollar zur Umsetzung der Trustworthy Computing-Initiative ausgegeben. Dies ist selbst für ein Unternehmen mit geschätzten Liquiditätsreserven in Höhe von 30 Milliarden US-Dollar eine bedeutende Investitionssumme.

Das Geld wurde zur Durchführung einer umfangreichen Sicherheitsüberprüfung vieler Microsoft-Produkte verwendet. Dazu wurde sogar die Entwicklungstätigkeit von mehr als 8.500 Softwareingenieuren bei Microsoft unterbrochen, um diese in einer intensiven Schwachstellenanalyse Millionen von Zeilen des Windows-Quellcodes analysieren zu lassen. Natürlich stehen die Arbeiten noch ganz am Anfang, vor allem, wenn man den jüngsten Äußerungen von Craig Mundie, Senior Vice President und CTO für Advanced Strategies bei Microsoft, folgt: „Wir werden möglicherweise 10 bis 15 Jahre für dieses Vorhaben benötigen, sowohl im Hinblick auf die Branche als auch auf unser Unternehmen.“

Die Bewertung der Fortschritte in der Trustworthy Computing-Initiative von Microsoft werde ich hier auf Grundlage der Kategorien und Definitionen aus Microsofts eigenem diesbezüglichen White Paper vom Mai 2002 vornehmen. Folgende acht Kategorien sind diesem White Paper genannt:

• Sicherheit: Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen sind eingeleitet.
• Privatsphäre: Daten über den End-Benutzer werden niemals ohne dessen Zustimmung gesammelt und anderen Personen oder Organisationen überlassen. Die Privatsphäre wird beim Erfassen, Speichern und Verwenden von Daten gemäß den Fair Information Practices geschützt.
• Verfügbarkeit: Das System ist entsprechend den Anforderungen verfügbar und einsatzbereit.
• Verwaltbarkeit: Das System ist gemessen an seiner Größe und Komplexität einfach zu installieren und zu verwalten (Skalierbarkeit, Effizienz und Kostenwirksamkeit fallen ebenfalls in diese Kategorie).
• Genauigkeit: Alle Funktionen werden vom System richtig ausgeführt. Die Rechenergebnisse sind fehlerfrei, und die Daten sind vor Verlust oder Manipulation geschützt.
• Benutzerfreundlichkeit: Die Software ist einfach zu handhaben und auf die Bedürfnisse des Benutzers zugeschnitten.
• Verantwortlichkeit: Das Unternehmen übernimmt die Verantwortung für Probleme mit der Software und leitet Maßnahmen zur Fehlerkorrektur ein. Dem Kunden wird Hilfe bei Planung, Installation und Anwendung der Produkte geboten.
• Transparenz: Das Unternehmen verfolgt eine offene Kundenpolitik. Seine Beweggründe sind klar umrissen, Versprechen werden eingehalten, der Kunde kennt seine Position bei Transaktionen und Interaktionen mit dem Unternehmen.