Suchen

Microsoft-Initiative Trustworthy Computing Hacktivismus bereitet Security Professionals zunehmend Kopfzerbrechen

| Autor / Redakteur: Lothar Lochmaier / Stephan Augsten

Global Player wie Microsoft müssen sich seit den ersten Schädlingswellen mit einer nie da gewesenen Bedrohungsqualität auseinandersetzen. Aus dem Handlungsbedarf heraus entstand die Initiative „Trustworthy Computing“. Sicherheitsexperten beleuchten, wie die Bilanz ein knappes Jahrzehnt nach Einführung der Kampagne ausfällt.

Firmen zum Thema

Auch der Security Development Lifecycle von Microsoft entstammt der Idee des Trustworthy Computing.
Auch der Security Development Lifecycle von Microsoft entstammt der Idee des Trustworthy Computing.
( Archiv: Vogel Business Media )

Wie wirkungsvoll ist Trustworthy Computing wirklich? „Die 2002 eingeführte Microsoft-Initiative war richtig, aber auch notwendig“ bringt es Matthias Zacher, Senior Consultant bei den Marktforschern IDC in Frankfurt auf den Punkt. Der 2004 gestartete Software-Entwicklung sprozess SDL (Microsoft Security Development Lifecycle) habe aus Sicht von IDC zu deutlich verbesserten Rahmenbedingungen für die Software-Entwicklung im Microsoft-Umfeld geführt, bilanziert der Sicherheitsexperte.

Ein Wermutstropfen bleibt angesichts des durch unterschiedlichste Hackeraktivitäten weiter gestiegenen Bedrohungspotentials. „Das Entstehen von Sicherheitslücken lässt sich nicht vollständig verhindern, allenfalls verringern“, gibt Zacher zu bedenken. Mit den einzelnen Versionen des SDL (aktuell SDL 5.1 von Oktober 2010) seien aber auch hier Verbesserungen und Optimierungen bereitgestellt worden. „Somit hat die Trustworting Computing Initiative die Sicherheitsprozesse im Microsoft Umfeld verbessert, vereinheitlicht und erweitert.“

Aus den Reihen der Sicherheitsanbieter bewertet man die globalen Bemühungen des Software-Giganten naturgemäß etwas verhaltener. „Microsofts Initiative ist nur eine von vielen und alleine sicherlich nicht in der Lage, die Bedrohungssituation global und signifikant zu verringern“ dämpft Klaus Jetter, Country Manager bei der F-Secure GmbH, allzu hochgesteckte Erwartungen.

Er plädiert deshalb für die verstärkte Zusammenarbeit zwischen den Unternehmen. Neben den Sicherheitsanbietern gelte es, hierbei auch Betriebssystemhersteller oder AppStore-Anbieter sowie polizeiliche Organisationen und Regierungen einzubeziehen.

Aktuelle Gefahren

Aber wo genau liegen mit Blick auf Microsoft die aktuell brisantesten Schwachstellen, angesichts derer IT-Security-Professionals die Augen besonders offen halten müssen? „Das größte Problem ist, dass immer noch veraltete Versionen von Microsoft-Betriebssystemen eingesetzt werden“, sagt Jetter. Im vergangenen Jahr sei Windows XP nach wie vor das beliebteste Betriebssystem gewesen – und daher für Hacker und Malwareautoren ein attraktives Ziel.

„Als Microsoft im Juli vergangenen Jahres die Updates für Windows XP Service Pack 2 eingestellt hat, hatten immer noch rund 10 Prozent unserer Kunden Windows XP SP2 im Einsatz“, so Klaus Jetter weiter. Zusätzlichen Handlungsbedarf gebe es aber an vielen Stellen, man könne den Schwarzen Peter nicht wirklich einem einzigen Unternehmen zuschieben.

„Momentan sehen wir am meisten Aktivität im Bereich Malware für Android“, so Jetter. Kopferzerbrechen bereite daneben auch der zunehmend grassierende „Hacktivismus“, also die Durchsetzung politischer Ideen über Hacking und der fortschreitende Cyberkrieg, wie das Beispiel Stuxnet gezeigt habe.

Seite 2: Trustworthy Computing – Grundrezept statt Allheilmittel

(ID:2052243)