Interview mit Microsofts Security-Strategen
Online-Nutzer müssen von Hackern und Phishern befreit werden
Zunahme von Angriffen, Abnahme von Vertrauen
Interview mit Microsofts Security-Strategen
Die Zunahme von Datendiebstählen und Netzeinbrüchen zum Sammeln personenbezogener Daten zwingt die Unternehmen und Verbraucher, ihre Sicherheit massiv zu erhöhen, um sensible Informationen geheim zu halten.
Das sieht auch der Microsoft-Gründer Bill Gates so – und erklärte den Delegierten auf der RSA Konferenz in San Francisco Anfang des Jahres, dass sein Unternehmen dem Thema Sicherheit in diesem Jahr absolute Priorität einräumen wird, was Microsofts Investitionen anbelangt. Die Firma wird anstreben, die Reaktion bei Bugfixes, die schnelle Erkennung und Isolierung schädlichen Codes sowie die Software für die Authentifizierung zu verbessern. Derzeit bringt Microsoft bereits Anti-Spyware und Anti-Phishing Produkte auf den Markt, um seinen Ansprüchen gerecht zu werden.
Computing traf Peter Cullen, den Chefstrategen für die Datensicherheit bei Microsoft, um mit ihm über die Trustworthy Computing Initiative der Firma zu sprechen sowie über ihre Vorstellungen hinsichtlich der Gefährdung des Datenschutzes und des Diebstahls personenbezogener Daten.
Wie gewinnt man Vertrauen?
Interview mit Microsofts Security-Strategen
Warum ist die Trustworthy Computing Initiative von Microsoft so wichtig ?
Vor ungefähr dreieinhalb Jahren haben wir darüber nachgedacht, was für die Nutzer erforderlich ist, damit sie Vertrauen in die Arbeit mit Computern haben.
Mir gefällt der Vergleich mit einem Telefonat: Wenn Sie einen Anruf tätigen, so ist der sicher, geheim und zuverlässig. Wir haben dies auf die Rechnerumgebung umgesetzt. Wir mussten dafür sorgen, dass die Verwendung von PCs und dem Internet ebenfalls sicher und vertraulich ist und dass die Daten der Menschen adäquat verwendet und geheim gehalten werden.
Auch war es wichtig, dass die Technologie so funktioniert wie sie sollte und dass eine Datenintegrität besteht. Es geht weniger um die Microsoft-Produkte sondern um mehr Vertrauen in Computer im Allgemeinen.
Das Marktforschungsunternehmen Forrester Research hat kürzlich die Vermutung ausgesprochen, dass der Online-Handel nicht so schnell wachsen würde wie er potentiell sollte. Bei unserer Trustworthy Computing Initiative handelt es sich darum, Vertrauen aufzubauen und dieses auch zu bewahren. Sie konzentriert sich auf Aufklärung, die Zusammenarbeit mit den Strafverfolgungs-Behörden und die Kooperation mit anderen Partnern, um einige dieser Probleme zu lösen. Internetnutzer müssen sich sicher fühlen und Spaß an diesem Erlebnis haben.
Was sind die größten Gefährdungen für den Datenschutz, denen Unternehmen und PC Nutzer ausgesetzt sind?
Spam, Phishing und der Diebstahl persönlicher Daten sind die Schlüsselprobleme, wenn wir den Datenschutz betrachten. Die Nutzer wollen in der Lage sein, die Informationen zu nutzen, um größeren Wert zu schaffen, aber sie wollen auch, dass dieser geschützt und ordnungsgemäß verwendet wird.
Heute können wir an unserem PC viel mehr von zuhause aus machen. Wir müssen nicht mehr in irgendwelche Einkaufszentren fahren, um Einkäufe zu erledigen oder unserer Bank einen Besuch abzustatten, jetzt da wir diese Dinge dank Internet bequem von unserem Wohnsitz aus erledigen können. Aber wir müssen auch an die Risiken denken, die mit diesen Vorteilen einhergehen.
So, wie die Informationen eine wertvolle Währung für die Unternehmen werden, so werden sie auch für Verbrecher zum Zahlungsmittel ihrer Wahl. Wir beobachten stark erhöhte kriminelle Aktivitäten und Gruppen des organisierten Verbrechens, die diese Informationen verwenden.
Vor ca. 18 Monaten hat ging es beim Spam um Angebote zur “Verbesserung” gewisser Körperteile, derer wir nicht bedurften. Heute wird er als Trägermechanismus für Spyware und Phishing-Angriffe genutzt.
Bei Spyware ging es einstmals um Werbung und um zu verfolgen, wo die Kunden im Internet hinklicken – jetzt wird sie für “Keystroke-logging” (eine Datenbeschaffungsform mittels Software, die jeden Tastendruck registriert) verwendet.
Hier gibt es ein ganz klares Technologieproblem. Aber wir arbeiten mit den Regierungsbehörden zusammen, um die bösen Jungs zu verfolgen. Ebenso gibt es eine Zusammenarbeit mit Partnern aus der Industrie, um gemeinsame Lösungen für diese Probleme zu finden.
Anti-Spyware nicht legal?
Interview mit Microsofts Security-Strategen
Es hat in den USA Fälle gegeben, wo Adware-Marketing-Firmen versucht haben, rechtliche Schritte gegen Anbieter von Anti-Spyware zu unternehmen. Wie definieren Sie Spyware?
Nach unserer Überzeugung müssen die Nutzer Kontrolle über ihre Informationen haben. Nichts sollte sich von selbst auf einen Computer laden ohne das vorherige Wissen oder die Zustimmung des PC-Nutzers. Auch sollte Software leicht von einem Computer zu entfernen sein. Wenn sie durch betrügerische Methoden installiert wird, dann erreicht sie keinen akzeptablen Standard und sollte gesperrt werden.
Unser Anti-Spyware Produkt hat gerade seine zweite Beta-Version durchlaufen und wir stellen fest, dass es für unsere Entwicklungen von ungeheurer Wichtigkeit ist, sich Wissen über die Definitionen von Spyware anzueignen. Wir wollen auch eine allgemein übliche Klassifizierung dessen, was Spyware ist, herausbringen. Die Aufklärung der Nutzer ist ebenfalls sehr wichtig, um das Phishing auszuschalten – ebenso wie die Sicherheit zuhause an den heimischen PCs.
Wie hat das Windows XP Service Pack 2 (SP2) die Computersicherheit verbessert?
Es gibt ein paar tolle Beispiele dafür, wie SP2 die Sicherheit bereits verbessert hat. Wir haben mit SP2 Schritte unternommen, um automatische Downloads und Pop-Ups zu sperren. Es gestattet dem Nutzer zu entscheiden, ob sie ein Pop-Up oder einen Download zulassen wollen, indem er mit den notwendigen Informationen versorgt wird.
Das automatische Updating der Patchfunktion ist sehr einfach.
Von denen, die sich für SP2 entschieden haben, nutzen jetzt circa 98 Prozent die automatische Updatefunktion.
Das Denken der Menschen bezüglich des wahrgenommenen Wertes von Informationen verändert sich. Ob es nun eine Bande des organisierten Verbrechens oder eine andere Macht ist – sie sagen: ‘Soll ich eine Maske aufsetzen und eine Bank ausrauben? Oder sollte ich zuhause sitzen und das Internet benutzen?’
Harte Arbeit an der Technikfront
Interview mit Microsofts Security-Strategen
Glauben Sie, dass die Technologie allein den Diebstahl von personenbezogenen Daten überwinden kann?
Ein großer Teil des Diebstahls von personenbezogenen Daten rührt noch immer von Angriffen her, die nicht auf Technologie basieren. Es sind noch immer die Phishing Angriffe, die auf dem “Social Engineering” beruhen, die die größte Wirkung zu verzeichnen haben.
Angriffe auf technologischer Basis werden jedoch wahrscheinlich ebenfalls zunehmen und deshalb suchen wir die Schlüsselpunkte, an denen wir ansetzen können, um dies zu stoppen. Allerdings suchen Verbrecher immer nach Wegen, wie sie Sicherheits- technologien umgehen können. Es hilft zwar, die Internetnutzer über Phishing und Trojaner aufzuklären – aber einige der neuen Angriffe sind einfach extrem raffiniert.
Die nächste Version des Internet Explorers, die kommenden Sommer herausgegeben wird, wird gegenüber diesen Angriffen mehr Kontrolle bieten.
Glauben Sie, dass eine bessere Nutzerauthentifizierung Phishing Angriffe verringern kann?
Ja. Aber ich möchte auch wissen, dass die Person oder Firma, mit der ich es zu tun habe, ebenfalls glaubwürdiger Nutzer ist. Es besteht die Notwendigkeit für eine bidirektionale Sicherheit.
Einige der raffiniertesten Phishing Angriffe sind so clever, dass es schwierig ist, sie zu identifizieren.
Die digitale Identität sollte nicht anders sein als die körper
liche Welt. Die Menschen müssen wissen, wem sie ihre detaillierten Informationen überlassen und zu welchem Zweck. Und das wird eine Lösung sein, an der wir zurzeit wirklich hart arbeiten.