«Am schlimmsten sind gezielte Angriffe»

InfoWeek: Kürzlich fand in Las Vegas wieder die Sicherheitskonferenz Black Hat statt. Was hält man bei Microsoft von einer solchen Veranstaltung?

Roger Halbheer: Wir haben dort Windows Vista präsentiert und zur Verfügung gestellt. Wir wollten mit Vista aktiv präsent sein und nicht passiv warten, bis die Leute auf uns zukommen.

Wie war der Feedback auf die Vista-Beta an der Black Hat?

Die Reaktionen waren eigentlich sehr positiv, zumal sich an der Black Hat ja nicht unbedingt Microsoft-Fans tummeln. Es ist interessant: Jeder, der Vista in die Hand nimmt, durchläuft zwei Phasen. Zuerst regt er sich über die Security-Features von Vista auf. Vor allem über die User Account Control. Wenn das Ganze dann durchdiskutiert wird, kommen die meisten zum Schluss, dass das eine gute Sache ist.

Wie sieht Ihre Zusammenarbeit mit den Security-Spezialisten aus?

Wir suchen beispielsweise das Gespräch mit Leuten, die Fehler veröffentlichen, ohne zuerst den Hersteller informiert zu haben, und die auch Exploit-Codes veröffentlicht haben. Wir diskutieren mit ihnen, was sie dadurch auslösen. Das hat entscheidend dazu beigetragen, dass wir mit der Zeit eine durchaus gute Beziehung zur Community der Fehler- und Leck-Sucher aufbauen konnten. Viele haben auch dadurch angefangen zu begreifen, wie ein Hersteller funktioniert.

Diese Einbindung durch Hersteller führt auch zu Kritik seitens der Bug-Jäger. Einigen geht es trotzdem zu wenig schnell mit den Patches und sie publizieren die Schwachstellen auf eigene Faust...

Das kann man natürlich niemandem verbieten. Aber schlussendlich ist damit auch niemandem gedient. Mittlerweile haben wir diesbezüglich auch sehr klar strukturierte Prozesse. Es geht wirklich darum, den Security-Forschern klar zu machen, was sie anrichten, wenn sie mit einer Schwachstelle vorzeitig an die Öffentlichkeit gehen. Beispielsweise kann es sein, dass wir gerade an einer wirklich kritischen Schwachstelle arbeiten und diese Arbeit zurückstellen müssen, weil ein Researcher mit einer Vulnerability an die Öffentlichkeit geht, die eigentlich weniger gravierend ist. Um den Dialog mit diesen Leuten zu intensivieren, haben wir Blue Hat geschaffen, eine Sicherheitskonferenz, die auf dem Microsoft-Campus in Redmond stattfindet, an der unsere Entwickler mit dieser Research-Community diskutieren können und umgekehrt. Die Förderung dieses Dialogs ist immens wichtig. Denn an dieser Schnittstelle entsteht eigentlich das grösste Potential für Probleme, nämlich dass sich einer fragt: Jetzt habe ich diese Vulnerability vor 30 Tagen nach Redmond gemeldet warum meldet sich Microsoft nicht zurück? Wieso dauert es so lange bis ein Patch da ist?

Wie sieht denn der Ablauf konkret aus, wenn jemand an Microsoft eine Schwachstelle meldet?

Das kann über secure@microsoft.com laufen. Da gibt es eine E-Mail-Adresse, über die sie sich melden können. Kunden wenden sich typischerweise an den Support, wenn sie ein Problem haben.
Bei den Meldungen machen wir eine Triage. Denn die meisten betreffen Fehlkonfigurationen bei einem Kunden. Wenn es sich aber tatsächlich um eine Schwachstelle handelt, passieren zwei Sachen. Zum einen wird ein Patch, zum anderen eine Test-Dokumentation geschrieben. Zur Verdeutlichung der Grössenordnung: Ein IE-Patch für alle Versionen, Betriebssysteme und Sprachen ergibt etwa 400 Pakete, die wir bereitstellen müssen. Die müssen alle getestet werden. Das ergibt mehr als eine halbe Million Testzyklen pro Paket.

Viele Leute leiden an den langen Update-Download-Zeiten nach einer Installation von Windows XP SP2. Ist ein Service Pack 3 für Windows XP vorgesehen, das die bisherigen Patches integriert?

SP 3 wird es nicht geben, bevor Vista ausgeliefert wird. Es wird wahrscheinlich auch kein SP 3 geben, das Funktionalität beinhaltet. Es wird vielleicht einmal ein Roll-up-Package geben, das die Patch-Sammlung beinhaltet.

Die Leute werden aber wahrscheinlich noch Jahre auf XP bleiben...

Das wird sich zeigen.

Zwei Jahre wird es sicher dauern, bis sich die Anwender einen Umstieg auf Vista überlegen.

Das wird interessant zu beobachten sein, gerade aus Sicherheitsgründen. Namhafte Kunden, die am Vista-Betatestprogramm teilnehmen, sind jedenfalls sehr angetan vom Betriebssystem und seinen Security-Features.

Das heisst, die Leute werden wegen der erhöhten Sicherheit mit dem Umstieg auf Vista nicht so lange warten wie bei früheren Windows-Versionen?

Davon bin ich absolut überzeugt. Vor allem im Heimmarkt.

Von etlichen Kritikern wird allerdings der Vergleich zu Emmentaler Käse gezogen...

Solche Vergleiche bringen niemandem etwas. Wichtig ist in erster Linie, dass wir als Microsoft unseren Job erledigen, dass heisst die Systeme sicher und benutzerfreundlich zu machen. Der Rest lässt mich relativ kalt. Klar, wenn solche Einwände kommen, muss man das anschauen. Aber wenn zum Beispiel die Linux-Community generell die Ansicht vertritt, sie sei besser oder sicherer als wir, ist das als Pauschalaussage nicht interessant.

Da gibt es aber noch die konkreten Einwände der Security-Hersteller, die behaupten, Microsoft erschwere ihnen bei Vista ihre Arbeit und halte zu sehr die Hände drauf. Was halten Sie davon?

Wo wir beide Hände drauf haben, das ist beim Kernel. Da darf niemand etwas daran machen. Ich finde es richtig, dass dieser innerste Kern zentral kontrolliert wird.
Selbstverständlich haben die Antiviren-Hersteller aber Zugang zu den APIs. Generell haben wir mit diesen Sicherheitsspezialisten immer zusammengearbeitet, und das wird selbstverständlich auch so bleiben.

Warum will sich Microsoft dann ein so grosses Stück des Security-Kuchens sichern? Befürchten Sie nicht weitere Gerichtsklagen, wenn Sie Sicherheitssoftware mit bestehenden Produkten koppeln?

Wir werden halt eben nicht koppeln. Aber eigentlich wäre es natürlich vor allem für den Endbenutzer optimal, wenn wir den Antivirenschutz direkt ins Betriebssystem integrieren würden. Das zeigt sich auch daran, dass etliche Anwender Probleme bekommen, die beispielsweise ein Antivirenprogramm installiert haben, dann aber das Abonnement für die Updates nicht gelöst haben.
Aber eben, wir können aus den verschiedensten Gründen den Antivirenschutz nicht ins Betriebssystem integrieren aus geschäftlichen und rechtlichen. Also bringen wir ein Produkt auf den Markt, das mit Security-Spezialisten wie Symantec und McAfee in Konkurrenz tritt. Dann wird es am Anwender liegen, sich für das eine oder das andere zu entscheiden.

Wann kommt der Security-Client OneCare Live auch in der Schweiz?

Ich kann Ihnen noch keinen Zeitpunkt nennen. Da die Live-Dienste einiges an Infrastruktur erfordern, werden wir in Europa nach und nach skalieren. In den USA kommt OneCare Live gut an.
Apropos Emmentaler und Betriebssystem: Mir ist zumindest für die vergangenen zwölf Monate kein Fall bekannt, in dem ein Hacker über das Betriebssystem in einen Server eingedrungen ist. Die meisten Angriffe erfolgen mittlerweile über die Applikationen und mittels Social Engineering.

Dann sind also die Anwender selber das höchste Sicherheits­risiko?

Es wäre natürlich einfach zu sagen, dass der Anwender schuld sei.

Müsste es nicht so sein, dass die Security-Features so benutzerfreundlich und transparent sein sollten, dass der Anwender gar keine Fehler mehr machen kann?

Das wäre natürlich das Idealziel. Wir sind hier in einem ganz diffizilen Bereich, in dem es auf der einen Seite darum geht, dem Anwender mehr Wissen in Sachen Sicherheit zu vermitteln. Auf der anderen Seite geht es auch darum, eine bessere Technologie zu schaffen, die für den Benutzer völlig transparent ist. Und dann gibt es noch den Zwischenbereich, in dem wir das Okay der Anwender für bestimmte Sicherheitsmassnahmen brauchen und in dem wir die Anwender gleichzeitig so ansprechen müssen, dass sie uns verstehen dass beispielsweise auch mein Vater versteht, der mit IT-Security nichts am Hut hat. Das ist natürlich gleichzeitig auch der schwierigste Teil.

Weshalb hat kürzlich der US-Minister für nationale Sicherheit so eindringlich empfohlen, die jüngsten Microsoft-Patchs zu installieren?

Das betraf den Patch MS06-040 und eine Schwachstelle, für die bereits ein Exploit-Code im Internet kursierte. Und dann kann natürlich jedermann diese Vulnerability ausnützen. Wir haben aber schon vorher die Kunden darauf hingewiesen. Ausserdem schauen wir mit den Regierungs- und Polizeistellen die Sache vor jedem Patchday genau an.

Was tut Microsoft, um ihr Image in der Bevölkerung zu verbessern?

Wenn ich mit Kunden rede, stelle ich fest, dass unser Image bereits massiv besser ist als noch vor fünf oder sechs Jahren.
Das einzige was wir tun können, ist Transparenz zu schaffen darüber, was wir machen. Wir werden diesbezüglich den Weg, den wir vor fünf Jahren eingeschlagen haben Stichwort Trustworthy Computing, konsequent weitergehen.

Wo sehen Sie kurzfristig die grösste Bedrohung für die IT-Sicherheit?

Was mir im Moment die stärksten Bauchschmerzen bereitet, sind die gezielten Angriffe, vor allem mittels Spyware, Spam und Phishing und natürlich die Möglichkeit, dass ganz gezielt Viren geschrieben werden, um Spionage zu betreiben oder jemand oder ein Unternehmen zu schädigen. Hier ist enorm viel Geld im Spiel. Man kann da von organisierter Kriminalität sprechen, an der technisch äusserst versierte Leute beteiligt sind. Um diese überführen zu können, ist eine enge Zusammenarbeit von Privatwirtschaft – also etwa Microsoft und den Strafverfolgungsbehörden notwendig.
Bedenklich ist auch, dass die Angriffe immer höher im Stack erfolgen. Während früher Protokolle und Betriebssysteme attackiert wurden, werden heute wie gesagt immer häufiger die Applikationen und die Anwender selber ins Visier genommen. Und zwar mit viel Geduld und viel weniger Getöse als früher.