Microsofts Sicherheitsoffensive: Nur Augenwischerei?
Artikel erschienen in Swiss IT Magazine 2002/18
Ist es einem Webmaster zu verübeln, wenn er nach der n-ten "Vulnerability" Meldung entnervt die Flinte ins Korn wirft, beziehungsweise den Internet Information Server (IIS) auf Nimmerwiedersehen von seinen Festplatten bannt? Es ist ihm nicht. Doch wahnwitzigerweise geschieht genau das Gegenteil: Ein Blick auf die aktuelle Webserverstatistik von Netcraft zeigt ganz klar, dass der IIS sogar Boden gutmacht, und zwar ausgerechnet auf Kosten von iPlanet und Apache, den wesentlich sichereren Produkten. Die zwei grossen Domainregisterfirmen, Register.com und Verisigns Network Solutions, die den zwischenzeitlichen IIS-Höhenflug durch eine Migration ihrer Webhosting-Aktivitäten auf ein Windows-Frontend provoziert haben, erhielten postwendend die Quittung für ihren Wagemut: Nur wenige Tage später waren die frisch auf Windows 2000 migrierten Systeme bereits geknackt, die Startseite manipuliert und der Imageschaden angerichtet - eine äusserst peinliche Angelegenheit für die Network-Solutions-Mutter und Sicherheitsfirma Verisign.
Die Leute des Domainhosters hätten es eigentlich besser wissen sollen: Fast wöchentlich treten neue IIS-Sicherheitsprobleme ans Tageslicht. Diese im Fachjargon genannten Vulnerabilities muss der Webmaster so schnell wie möglich stopfen, ansonsten läuft er Gefahr, dass jemand das Loch ausnützt, sich Zugang zum Webserver verschafft und Inhalte manipuliert. Bei der Kadenz, mit der Microsoft gegenwärtig Patches ausliefert, ist es verständlich, dass er die Übersicht verliert. Die Vulnerability-Datenbank von Securityfocus.com enthält bereits 98 Einträge, die mit den verschiedenen IIS-Versionen in Verbindung stehen. Davon stammen allein 18 Einträge von diesem Jahr. Ich meine: Das ist rekordverdächtig! Andere Webserver wie Apache, iPlanet und Zeus haben da eine wesentlich weissere Weste. Kommt noch dazu, dass Microsoft meist schwerwiegendere Vulnerabilities nachgewiesen werden können als der Konkurrenz.
Wer anderes zu tun hat, als im Wochentakt das System zu patchen, dem sei ein sogenannter alternativer Webserver ans Herz gelegt. Doch das ist leicht gesagt. Denn in den meisten Fällen bedeutet ein Wechsel des Webservers auch einen Wechsel auf eine neue Betriebssystemplattform. Zwar gibt es iPlanet und Apache auch für Windows, aber so richtig wohl fühlen sich die beiden erst auf Linux oder einem anderen Unix-Derivat wie Solaris oder HP-Unix. Ein weiteres Hindernis, das sich einem migrationswilligen Webmaster in den Weg stellt, sind die Active Server Pages (ASP): Was mache ich mit den Dutzenden von Scripts, die ich als ASP geschrieben habe? Diese laufen ohne IIS nämlich nur mit einer speziellen Zusatzsoftware auf einer anderen Plattform. Eine dieser Lösungen ist Suns Chilli!Soft ASP, die ASP-Applikationen auch unter iPlanet, Apache oder Zeus zum Laufen bringt.
Obwohl es nicht den Eindruck erweckt, aber ganz untätig war Microsoft in Sachen Sicherheit in den letzten Monaten nicht. Eiligst wurde in Redmond eine Sicherheitsinitiative aus dem Boden gestampft, die alle Abteilungen durchdringen soll. Die ersten Resultate dieser Offensive sind in Form eines so genannten Microsoft Security Tool Kits sichtbar - das Ganze überzeugt mich leider nur sehr bedingt.
Denn um was geht es dabei konkret? Beim Microsoft Security Tool Kit handelt es sich um eine Ansammlung von Sicherheitsartikeln, kumulierten Sicherheitspaketen, einem Schwachstellenscanner und einem Tool, das die IIS-Konfiguration überprüft und sicherer machen soll. In der Vergangenheit musste man zum Beispiel Dutzende von Hotfixes einzeln installieren; dabei ging schnell die Übersicht verloren, wo welcher Patch schon installiert war. Jetzt ist es möglich, das System zu scannen und danach alle Patches auf einmal zu installieren.
Zugegeben, das Kit macht mir das Leben leichter, aber nicht leicht genug. Was ich will, ist eine Software, die nicht jede Woche gepatcht werden muss. Ich bin gespannt, ob es Microsoft fertig bringt, nach den grossen Sprüchen, alles sicherer zu machen, nun auch echte Taten folgen zu lassen. Oberste Priorität hätte für mich hier zum Beispiel die Formulierung wasserdichter Entwicklungsprozesse, zumindest für ihre Kernprodukte. Alles andere ist schlichtweg Augenwischerei und packt das Übel nicht an der Wurzel, genauso wie das Security Tool Kit.