Weißes Haus entdeckt Computersicherheit

Das amerikanische President’s Office of Management and Budget (OMB) hat kürzlich eine Anweisung an alle Chief Information Officers (CIO) der Bundesbehörden verschickt, ihre Windows-PCs abzusichern. OMB-Beamtin Karen Evans schrieb in dem Memo: „Einheitliche Sicherheitseinstellungen schaffen einen grundlegenden Sicherheitslevel, senken das Risiko, das von Gefahrenquellen und Schwachstellen ausgeht, und sparen Zeit und Ressourcen.“ In einem weiteren Memorandum, das einen Schneeballeffekt weit über Washington hinaus haben könnte, heißt es, dass alle Bundesbehörden bis zum 1. Februar 2008 zur Einführung sicherer Standardkonfigurationen für Windows XP und Windows Vista verpflichtet werden.

„Wenn die Regierung festlegt, dass sie nur noch sichere Systeme kauft, ist das ein hervorragendes Signal,“ sagt Larry Clinton, Präsident der Internet Security Alliance, die Anwender großer Unternehmenslösungen repräsentiert. „Das ist ein wichtiger Schritt. Alle Technikanbieter müssen nun ihre Produkte an diese Standards anpassen.“ Die Anweisung schreibt vor, dass Anbieter, die der Regierung etwas verkaufen wollen, garantieren müssen, dass ihre Produkte mit den sicher konfigurierten Systemen funktionieren. Mindestens ein Analyst sieht die Entwicklung aber höchstens als einen kleinen Schritt: „Einerseits kommt es auf jede Kleinigkeit an. Andererseits ist es aber auch nur eine Kleinigkeit,“ sagt Pete Lindstrom, Analyst der Burton Group. „Standardkonfigurationen sind ganz offensichtlich nützlich. Rund 2000 Unternehmen weltweit richten sich seit 10 bis 15 Jahren danach.“

Das Sans Institute, spezialisiert auf Schulungen in Computersicherheit, ist anderer Meinung und spendet der Regierungsmaßnahme Beifall. Die 65 Milliarden Dollar, rund 49 Milliarden Euro, die die Regierung jährlich in IT-Technik stecke, seien ein enormer Anreiz für die Industrie, Produkte zu entwickeln, die auf abgesicherten Systemen liefen. Das komme auch Anwendern außerhalb der Regierung zugute, wie Allan Paller, Director of Research bei Sans, auf der Website der Organisation schreibt.

Um den Anbietern bei der Entwicklung zu helfen, will die Regierung Ende April Windows-Installationen zugänglich machen, die Sicherheitseinstellungen verwenden, wie sie das National Institute of Standards and Technology, das Verteidigungsministerium, das Department of Homeland Security, Microsoft und andere entwickelt haben. Die U.S. Air Force war mit 575.000 Computern Versuchskaninchen für das Programm nach dem Motto „Richtig einrichten oder keine Verbindung“.

Microsoft hatte seinen Windows Vista Security Guide im November 2006 herausgebracht. Im Januar erschien eine neue Version, nachdem in der ersten Version ein Fehler entdeckt worden war. Einen Security Guide für Windows XP gibt es seit Ende 2005.