Mythen in Tüten: Sichere Software


Thomas Wölfer
Thomas Wölfer

01. April 2004


Gestern hat Bill Gates ein Memo von sich gegeben laut dem die 'Trustworthy Computing' Initiative bei Microsoft erste Erfolge zählt. Dabei geht es darum die Sicherheitsmängel in Windows Clients und Server - und ganz allgemein in Microsofts Software zu verringern. Und diese Mängel sind tatsächlich ganz erheblich zurückgegangen, dem kann ich nur zustimmen. Allerdings: Normale Anwender haben davon bisher nichts mitbekommen - doch das wird sich bald ändern.

Was Microsoft so tut um die Sicherheit der eigenen Software zu verbessern liest man zum Beispiel bei Michael Howard nach.

Dem habe ich aber noch ein paar Dinge hinzuzufügen: Es gibt immer wieder ganz pauschale Behauptungen nach denen die Sicherheit von Open Source Programmen einfach besser wäre als das bei 'normalen' Anwendungen der Fall ist. Das ist natürlich Unsinn. Sicherer sind die sichereren Anwendungen - und die sichereren Anwendungen entstehen dort, wo Hersteller und Entwickler entsprechenden Wert auf Sicherheit legen. Genau darum gehts beim Trustworthy Computing, und Microsofts Investitionen seit dem erscheinen von XP machen sich tatsächlich bemerkbar.

Angefangen haben diese Bemühungen aber erst nachdem XP erschienen ist-  und das ist auch der Grund warum man als Anwender bisher nichts davon gemerkt hat: Das einzige größere Paket bei dem man die bisheringen Arbeiten bemerken kann ist der Windows 2003 Server (und ein paar andere Server) - und sowas hat man halt normalerweise nicht zu Hause oder im Ingenieurbüro.

Wir haben hier aber sehr wohl sowas stehen: Der Text den Sie gerade lesen wird von einem Internet Information Server (IIS) unter Windows 2003 ausgeliefert. Der Open-Source Konkurrent zum IIS ist der Apache - der mit weitem Abstand am weitesten verbreitete Webserver. (Nicht das hier irgendwelche Irrtümer aufkommen: Ich mag den Apache - ich betreibe auch ein paar Server damit.)

Wenn man sich nun ansieht welche Schwachstellen Security Focus zu den beiden Webservern gesammelt hat, dann erhält man ein deutliches Ergebnis: Beim IIS 6 gibts ein einziges Problem seit dessen erscheinen, beim Apache im gleichen Zeitraum 30. (Zugegeben, das ist nicht ganz ehrlich gezählt, denn vom Apache werden 2 Versionen parallel mitgeführt - trotzdem ist das ein recht deutlicher Hinweis.)

Und beim Windows 2003 Server sind extrem viele der Sicherheitsfeatures vom XP SP2 noch gar nicht drin - die sollen erst später in diesem Jahr per Service Pack ausgeliefert werden. Diese Aenderungen aus dem Service Pack 2 für XP werden die ersten sein, die auch die allermeisten Anwender betreffen: Windows ist tatsächlich und wahrhaftig auf dem Weg deutlich sicherer zu werden - die letzten beiden Jahre bringen nun die ersten Früchte.

Wenn Microsoft weiter an der Sicherheit arbeitet wie in den letzten beiden Jahren - und daran habe ich eigentlich keinen Zweifel, werden wir in den nächsten beiden Jahren mitbekommen wie die Anzahl der Sicherheitsprobleme bei Windows dramatisch sinken wird.