Zwischenbilanz: So sorgt Microsoft für mehr Sicherheit

IT-Sicherheit und Microsoft – lange schienen das zwei zu sein, die nie mehr Freunde werden. In jüngster Zeit gab es jedoch immer wieder Meldungen, die aufhorchen ließen. Beispielsweise stellten Experten der ETH Zürich ein Verfahren vor, das die Sicherheit von Betriebssystemen anhand von Zero-Day-Lücken misst. Dafür verglichen die Wissenschaftler 658 Sicherheitsupdates von Microsoft und 738 von Apple aus den vergangenen sechs Jahren. Das Ergebnis: „Während sich die Anzahl offener Schwachstellen bei Microsoft stabilisiert hat, hat Apple inzwischen Microsoft überholt.“

Die Wissenschaftler haben nicht nur die Anzahl der aufgetretenen Fehler untersucht, sondern auch die Zeiträume zwischen Entdeckung und Veröffentlichung einer Lücke beziehungsweise bis zum Erscheinen eines Updates oder Exploits. „Im Durchschnitt war Microsoft in der Lage, die Zahl offener Schwachstellen konstant unter 20 zu halten. Apple konnte den Wert nicht stabilisieren“, heißt es in dem Bericht. Die Experten führen das unter anderem auf die gestiegene Popularität von Apple-Plattformen zurück – sowohl bei Anwendern als auch bei Malware-Autoren.

Microsoft hat damit schon länger zu kämpfen: Als am weitesten verbreitetes PC-Betriebssystem und als breit eingesetztes Serverbetriebssysytem sind Microsoft-Produkte für Hacker einfach am lohnendsten. Die Verantwortung, sichere Lösungen anzubieten hat Microsoft ernsthaft erst 2002 angenommen, als das Konzept des Trustworthy Computing vorgestellt wurde. Dass damit nicht von heute auf morgen Ergebnisse verbunden waren, lag an der Architektur der Microsoft-Software selbst: Denn gerade einer der zentralen Vorteile von Windows – die tiefe Integration von Betriebssystem und Anwendungen – macht es möglich, dass Schadsoftware die Anwendungen als Einfallstore nutzt. Dass dieses Phänomen nicht auf Microsoft beschränkt ist, musste kürzlich auch Apple erfahren, als Hacker das Macbook Air im Rahmen eines Wettbewerbs über eine Zero-Day-Lücke in Safari innerhalb von nur zwei Minuten knackten.

Die enge Verzahnung von Windows und den Microsoft-Anwendungen ließ sich aber nicht ohne weiteres auflösen. So lebten Heerscharen von Sicherheitsanbietern mehrere Jahre ganz gut von und mit Microsofts Schwächen – bis der Konzern begann, mit dem Gedanken an eigene Sicherheitsprodukte zu spielen. Der Plan, diese eben so eng in das bestehende Portfolio zu integrieren, wie das bis dahin bei neuen Microsoft-Produkten üblich war, wurde bald aufgegeben: Microsoft hatte seine Lektionen aus den Entscheidungen der Kartellgerichte und der EU-Kommission gelernt. Anschuldigungen der bisherigen Partner, die auf einmal Wettbewerber wurden, blieben dennoch nicht aus.

Die mit dem Kauf des Antiviren-Software-Herstellers Gecad und des Anti-Spyware-Anbieters Giant erworbenen Technologien werden im neuen Microsoft-Gewand daher nicht als integraler Bestandteil, sondern unter dem Dach von Windows Onecare als kostenpflichtiger separater Dienst vertrieben. Die durch den Kauf von Sybari hinzugekommenen Technologien mündeten ebenfalls in ein eigenständiges Produkt: Microsoft Forefront Security.

So weit der Stand der Dinge bis heute. Im Interview mit ZDNet erklärt Tom Köhler, Director IT-Security Strategy & Communication bei Microsoft Deutschland, wie die weitere Security-Strategie des Softwareriesen aussieht und wo er die Schwerpunkte setzt.