Automatisiertes Patching: Roger Halbheer vs. Matthias Leisi
Artikel erschienen in Swiss IT Magazine 2003/18
Microsoft plant die Windows-Update-Funktion um eine weitere Option zu ergänzen, die eine automatische Installation von Softwarepatches ermöglicht. Die Zusatzfunktion ist noch nicht mal in die Realität umgesetzt, und schon schlagen weite Userkreise Alarm: Sie befürchten unter anderem, dass Microsoft dadurch eine noch grössere Kontrolle über den PC erlangen wird. Ein Sturm im Wasserglas – oder eine berechtigte Sorge der User? InfoWeek befragte dazu den Security-Experten von Microsoft Schweiz sowie einen Vertreter der User.
Pro: Grundsätzlich beinhaltet Windows die entsprechende Funktionalität bereits mit Windows Update. Windows Update enthält heute drei Optionen: manuelle Installation, automatische Information und automatischer Download mit anschliessender Info. Wir prüfen einzig, den bestehenden Mechanismus noch um eine Option zu erweitern: automatische Installation. Hier ist es uns allerdings wichtig, dem Anwender jederzeit Transparenz und Entscheidungsfreiheit über die ausgeführten Prozesse zu gewährleisten.
Kontra: Technisch ist das mit genügend Willen und Aufwand sicherlich realisierbar. Bandbreite ist heute billiger denn je, und dank verteilter Caches lassen sich die Daten effizient zum Kunden transportieren. Die Frage ist keine technische, sondern eine soziale: Kann man Microsoft vertrauen? Womit rechtfertigt Microsoft dieses Vertrauen? Übernimmt Microsoft eine Haftung für korrekte Updates und die Wahrung des Datenschutzes?
Pro: Wir packen es ja auch dort genau an: Die Code Review im Rahmen der Trustworthy Computing Initiative ist ein gutes Beispiel dafür. In diesem Rahmen wurde die gesamte Produktentwicklung für zwei Monate gestoppt und über 20'000 Entwickler im Schreiben von sicherem Code geschult. Trotzdem hatten wir 40 Security Bulletins zu viel dieses Jahr - es waren 40. Software-Hersteller werden immer mit Unzulänglichkeiten im Code leben müssen, dazu ist die Programmierung viel zu komplex. Es kommt vielmehr darauf an, in einer gemeinsamen Anstrengung mit Herstellern und Anwendern das Problem Patching umfassend zu lösen.
Kontra: Die Heftigkeit der Ausbrüche der letzten Monate hat zwei direkt benennbare Ursachen: den Internet Explorer und die Benutzer, die auf alles klicken, was sich nicht schnell genug vom Bildschirm wegbewegt. Auf den Internet Explorer kann man sehr gut verzichten. Opera oder Mozilla sind wesentlich sicherere Alternativen, sowohl als Browser wie auch für E-Mail. Weitere Ansatzpunkte sind veränderte Prioritäten in der Abwägung zwischen Benutzerfreundlichkeit und Sicherheit sowie eine Reduktion von Abhängigkeiten. In vielen Fällen wird das auf eine Entbündelung hinauslaufen, etwa zwischen Internet Explorer und systemnahen Anwendungen.
Pro: Grundsätzlich ist das Streben nach Sicherheit eine gemeinsame Anstrengung von Herstellern, Anwendern und Öffentlichkeit. Nur wenn alle Anstrengungen koordiniert werden, können Fortschritte erzielt werden. Automatisches Patching ist als zusätzliche Option zu verstehen und lässt dem Benutzer die Freiheit, selber zu entscheiden, was er machen will. Wenn wir es als Hersteller nicht schaffen, das Vertrauen der Anwender in unsere Sicherheitsbestrebungen und Datenschutzauflagen zu gewinnen, ist auch automatisches Patching nicht mehr als Kosmetik. Wir sind auf branchenweite Akzeptanz und Konsens angewiesen, um die Virenproblematik effektiv lösen zu können.
Kontra: Kunden haben in der Vergangenheit gelernt, dass Microsoft über Updates nicht nur die Sicherheit erhöhen will, sondern auch strategisch vorgeht und mit subtilen Änderungen das Lock-In der Anwender erhöht. Pflichtbewusste Netzwerkadministratoren werden Patches zuerst testen wollen, bevor sie diese auf ihre Geräte loslassen. Im professionellen Umfeld wird automatisches Patching also kaum eine Verhaltensänderung bewirken.
Pro: Auch dies ist heute bereits gelöst: Alle Patches sind signiert und können so als einwandfrei "sauber" identifiziert werden. Anwendern gibt das die Sicherheit, Patches aus vertrauenswürdigen Quellen zu installieren. Grundsätzlich versendet Microsoft niemals Patches oder Updates via E-Mail sondern stellt sie ausschliesslich zum Download über eine sichere Microsoft-Site zur Verfügung. Somit ist Missbrauch und die Verbreitung von Viren über Patches ausgeschlossen. Windows Update ist hochgradig gesichert und hat bis anhin noch keinen nennenswerten Sicherheitsvorfall erlebt.
Kontra: Es gibt gute Verfahren zur Sicherung der Authentizität der Systeme und der Integrität der Daten. Mittlerweile kann man Microsoft zutrauen, solche Funktionen korrekt zu implementieren. Sicherheitsbedenken sind dort angebracht, wo eine Anwendung gewisse Daten der lokalen Maschine mit einem zentralen System austauscht: Welche Daten werden das sein, und wer überprüft, dass es nur diese Daten sein werden?
Pro: Windows Update ist heute gratis und wird es auch in Zukunft bleiben. Sicherheit darf aus unserer Sicht nicht an einer Kostenfrage scheitern. So nimmt Microsoft seine Verantwortung für sichere und integre Produkte beim Anwender wahr.
Kontra: Software-Updates kosten auch heute schon etwas - nur bezahlen wir nicht für jedes einzelne Update, sondern über einmalige und wiederkehrende "Lizenzen" bei proprietärer Software oder unterschiedliche Modelle bei Distributoren freier Software. Der beste Service würde darin bestehen, sichere Software zu erstellen, sowohl konzeptionell wie auch handwerklich. In beiden Bereichen sind nicht nur Microsoft, sondern alle Softwarehersteller in die Pflicht zu nehmen.
Pro: Roger Halbheer berät als Security Officer der Schweizer Niederlassung von Microsoft Kunden und Partner in sämtlichen Fragen rund ums Thema Sicherheit. Unsicheren Microsoft-Usern empfiehlt er den Besuch des Security-Portals.
Kontra: Matthias Leisi ist Präsident der Swiss Internet User Group (Siug) und arbeitet als selbständiger IT-Projektleiter mit Schwerpunkt Serverinfrastrukturen.