Zeitung Heute : „Wir müssen uns das Vertrauen hart erkämpfen“

Sicherheit ist für Microsoft-Deutschlandchef Achim Berg selbst für Fachleute eine Reise, auf der man ständig auf neue Herausforderungen stößt

Herr Berg, wie definieren Sie Sicherheit?

Wir alle wissen: Hundertprozentige Sicherheit gibt es nicht. Und die subjektive Bedeutung von Sicherheit ändert sich im Lauf eines Menschenlebens. Für unbefangen spielende Kinder hat Sicherheit noch keinen besonderen Stellenwert. Für den Erwachsenen, der sich mit seiner Zukunftsplanung beschäftigt, wird Sicherheit immer wichtiger. Insofern dient das Anlegen des Sicherheitsgurtes im Auto demselben Ziel wie die Planung der finanziellen Zukunft im Alter: Es soll mir gutgehen. Auf das Internet und die IT bezogen heißt dies, dass wir einerseits Technologie bereitstellen, die das derzeit Optimale an Sicherheit bietet und uns zugleich so verhalten, dass die Risiken beherrschbar bleiben. Das Internet steht gerade vor einer extrem spannenden Entwicklung. Inhalts-Portale, Handelsplattformen und soziale Netze wachsen immer stärker zusammen. Diese Entwicklung erfordert noch größere Sicherheitsanstrengungen. Die Identität, die Daten und die Privatsphäre des Einzelnen müssen konsequent respektiert und geschützt werden. Dabei hilft zum Beispiel die End-to-End-Trust-Software-Initiative. Mit ihrer offenen Entwickler-Plattform ermöglicht sie eine lückenlose Vertrauenskette für komplette Internet-Transaktionen. Dieses Vertrauen ist die Voraussetzung für die Akzeptanz des Webs und seiner Weiterentwicklung.

Microsoft, die Sicherheits-Company. Glauben Sie, dass es dieses Image Ihres Unternehmens gibt?

Image klingt so nach Marketing. Nicht, dass ich etwas gegen kluge Werbekampagnen hätte – hier geht es um Vertrauen. Und das müssen wir uns möglicherweise hart erkämpfen. Das geht nicht mit kurzfristigen Aktionen, sondern nur mit nachhaltigem Handeln. Ich denke, wir sind auf einem guten Weg, aber über die Image-Frage sollten wir uns in ein, zwei Jahren noch mal unterhalten. Vor etwas mehr als sechs Jahren hat Microsoft auf die Trustworthy Computing Initiative von Bill Gates hin mit dem Umbau des Unternehmens begonnen. Diese Entwicklung ist nicht mehr umkehrbar und heute nennen wir das „Building 28“, die Heimat unserer Sicherheitsleute auf dem Redmond Campus, oft scherzhaft das Zentrum der Macht. Dort wird heute auch entschieden, ob vielleicht ein Produkt-Feature zugunsten der Produktsicherheit weggelassen wird.

Wie weit passt diese Definition auf das aktuelle Microsoft-Betriebssystem Windows Vista?

Vista ist unser erstes Produkt, das nach den neuen Richtlinien geplant, realisiert, getestet und auf den Markt gebracht wurde. Der Vorgänger, Windows XP, wurde in den ersten zwölf Monaten 26 Mal gepatcht. Betroffen waren insgesamt 30 mögliche Sicherheitslücken. Vista wurde im gleichen Zeitraum nur neun Mal gepatcht, betroffen waren noch 17 mögliche Sicherheitslücken. Für die neue Strategie ist das ein schöner Erfolg, der von unabhängigen Sicherheitsfachleuten und vor allem von unseren Kunden, Verbrauchern und Systemverwaltern in Unternehmen sehr geschätzt wird.

Seit über einem Jahr ist Windows Vista im Markt und trotzdem gibt es offenbar eine erhebliche Zahl von Nutzern, die weiter auf XP setzen. Es wird sogar spekuliert, dass Microsoft die Verfügbarkeit von XP weiter verlängert. Wie ist das unter dem Gesichtspunkt der Sicherheit zu beurteilen?

Seit dem Produktstart von Windows Vista wurde es über 100 Millionen Mal verkauft. Dieser Erfolg war nicht einmal Windows 95 beschieden, obwohl das mediale Interesse ungleich größer war. Aber auch damals existierte eine Gruppe von Leuten, die lieber bei Windows 3.1 oder Windows for Workgroups 3.11 bleiben wollten. Man mag darüber streiten können, ob einem die Benutzeroberfläche Aero oder die neue Windows Sidebar gefällt. Worüber man nicht streiten kann, ist, dass Windows Vista mit seiner Architektur deutlich mehr Sicherheit gegen Angriffe aus dem Netz bietet. Und 90 Prozent dieser Angriffe richten sich gegen Privatleute, die keinen erfahrenen IT-Administrator zur Seite haben. Obwohl Windows Vista mit vielen rückwärtskompatiblen Zöpfen aus Sicherheitsgründen radikal bricht, ist die Akzeptanz gerade bei Microsoft-Partnern und Entwicklern enorm hoch.

Gerade die erfahrenen Nutzer fühlen sich von Vista bevormundet. Hat man in punkto Sicherheit zu viel des Guten getan?

Was meinen Sie konkret mit Bevormundung?

Microsoft-Produktmanager David Cross hat unlängst zur Benutzerkontensteuerung gesagt: „Damit wollen wir die Nutzer nerven – Das meine ich ernst“. Können Sie diese Haltung teilen?

Ein sehr zugespitztes Statement eines Kollegen. Nein, wir wollen nicht nerven, sondern sensibilisieren. Eine viel geübte Kritik war ja in der Vergangenheit, dass Windows-Nutzer in den allermeisten Fällen als Administratoren unterwegs waren, was natürlich ein Sicherheitsrisiko darstellen kann. Die Benutzerkontensteuerung differenziert diese Zugriffe auf das System und gibt dem Anwender darüber Auskunft, welche Software – zum Beispiel bei der Erstinstallation – auf seinen Computer zugreifen will. Damit hat immer der Benutzer die Kontrolle darüber, was auf seinem Computer läuft. Unser neuer Security Intelligence Report spricht da klare Worte: Mehrere zehntausend Computer in Deutschland sind nicht mehr in der Hand ihrer Benutzer, weil sie von Trojanischen Downloadern oder Droppern gekapert wurden. Windows Vista hat bei den Infektionen den geringsten Anteil. Die Infektionsrate war bei Windows Vista über zwei Mal bis zehn Mal geringer als bei Windows XP, je nach installiertem Service Pack.

Mangelt es Ihren Kunden denn am nötigen Sicherheitsbewusstsein?

Die Sensibilität für Sicherheitsprobleme und Bedrohungen in Deutschland ist sehr hoch. Das mag unter anderem an den Aufklärungskampagnen liegen, wie sie zum Beispiel von „Deutschland sicher im Netz“, „Sicherheit-macht-Schule“ und den „Internauten“ angeboten werden. Während nach unseren Erkenntnissen weltweit im Durchschnitt einer von123 Computern mit Schadsoftware infiziert ist, trifft dies in Deutschland nur auf jeden 226sten Rechner zu. Die (N)onliner Atlas Studie, die wir zusammen mit der Initiative D21und TNS Infratest durchgeführt haben, ergab bei der letztjährigen Auswertung ein überdurchschnittliches Wachstum im Bereich Eigenverantwortung. Die Befragten erkennen zunehmend, dass auch sie eine große Verantwortung tragen und eine entscheidende Rolle zur Reduzierung von Sicherheitsproblemen im Web spielen. Die Erkenntnis ist also schon da...

Wie sicher kann der Faktor Mensch überhaupt sein?

...aber Taten müssen folgen und gute Vorsätze umgesetzt werden. Manchmal hat man eine zündende Idee für einen Blog-Beitrag. Es könnte jedoch auch klüger sein, zwei Mal darüber nachzudenken, ob man den jetzt absetzt. Jeder sollte wissen, das Web ist keine Festplatte, die man formatieren kann, wenn einem der Inhalt nicht mehr gefällt. Das Internet ist ein Spiegel unserer Gesellschaft, mit all ihren guten und schlechten Eigenschaften. In Zeiten von Web 2.0 und dem oftmals kritisierten Mitteilungsbedürfnis besteht heute die akute Gefahr, dass sich Menschen bei der Preisgabe von Informationen über sich selbst vergaloppieren und dann Opfer von Social-Engineering- Angriffen aus unbekannter Richtung werden. Vor solchen Risiken müssen Sicherheitsfachleute, Strafverfolgungsbehörden und die Politik warnen.

Hat der Nutzer eigentlich eine Chance, mit der Entwicklung Schritt zu halten und sich vor Gefahren zu schützen? Man hat das Gefühl, dass man immer hinterherhinkt.

Aber der Nutzer kann sich heute sehr gut durch Einhaltung von ein paar Grundregeln schützen: Firewall aktivieren, automatische Sicherheitsupdates herunterladen und installieren, Antivirus- und Antispyware-Software installieren und up-to-date halten. Seit dem Internet Explorer 7 kann der Benutzer auch erkennen, ob er dabei ist, eine riskante Webseite zu öffnen. Jetzt noch ein wenig gesunder Menschenverstand beim Öffnen von Mails und deren Anhängen. Natürlich sollte man sich über die aktuellen Bedrohungen aus dem Web informiert halten. Dafür gibt es in Deutschland viele gute Angebote im Netz.

Sind die Risiken des Internet für den normalen Nutzer noch überschaubar?

Selbst ausgewiesene Sicherheitsfachleute würden dies nicht für sich in Anspruch nehmen. Sicherheit als endgültiges Ziel wird wohl immer eine Reise bleiben, bei der man permanent an neue Herausforderungen stößt. Diese Erfahrungen schnell und wirksam umzusetzen und die Menschen aufzuklären, ist Aufgabe der Gesellschaft, Politik, Strafverfolgungsbehörden und der Softwareindustrie.

Kinder und Jugendliche wachsen mit dem Internet als einem Spielzeug auf. Brauchen wir ein Fach Medienkunde, um nicht nur die Risiken, sondern auch die Chancen des Netzes systematisch zu lernen?

Bestimmte Grundregeln für das Verhalten im Internet könnten schon Bestandteil eines Lehrplans sein. Aber das Netz entwickelt sich extrem schnell und es wäre womöglich der falsche Ansatz, sich darauf zu beschränken. Eine lebendige Plattform stellt zum Beispiel unser Portal www.sicherheit-macht-schule.de dar. Hier werden Unterrichtsideen zwischen Lehrern, Eltern und Schülern ausgetauscht und die Themen sind stets aktuell. Das wird aber nicht als eigenständiges Fach wie etwa „Medienkunde“ betrachtet, sondern liefert Inhalte für alle möglichen Fächer und bindet diese mit ein. In Bayern haben wir gerade in Zusammenarbeit mit der Landeszentrale für neue Medien unser Material an speziell ausgebildete Pädagogen übergeben, um es dann an den Schulen einzuführen. Die „Internet-Erziehung“ sollte aber schon zu Hause beginnen.

Sind Kinder und Jugendliche leichtsinniger als ihre Eltern und Lehrer im Umgang mit dem Internet?

Kinder und Jugendliche haben von sich aus kein ausgeprägtes Sicherheitsbewusstsein. Eltern sollten sich unbedingt die Zeit nehmen, mit den Kindern gemeinsam Entdeckungen im Web zu machen. Ein freundschaftlicher Rat wirkt dann viel besser als eine Regel oder gar ein Verbot. Darüber hinaus bietet Windows Vista eine Benutzerkontensteuerung, die die Aktivität der Kids im Internet und überhaupt am Computer regeln kann.

Zurück zu Windows Vista: Was unternimmt Microsoft, um die erfahrenen Nutzer davon abzuhalten, die Benutzerkontensteuerung sofort zu deaktivieren?

Wir wollen unsere Anwender nicht bevormunden und wer bewusst auf diese Sicherheitsmaßnahme verzichten will, kann dies – die entsprechenden Administrationsrechte vorausgesetzt – tun. Wir raten aber sehr davon ab, denn die Vergangenheit hat gezeigt, dass die meisten Nutzer – ob im Internet oder nur lokal – mit Administratorrechten unterwegs waren. Die überwiegende Mehrheit der Vista-Anwender schätzt das neue Sicherheits-Feature.

In Redmond wird bereits am Nachfolger von Vista gearbeitet. Bleibt es beim Sicherheitskonzept von Vista?

Durch die Struktur unserer Entwicklungsteams ist gewährleistet, dass ein Teil der Entwickler schon früh mit der Weiterentwicklung von Windows beginnen kann. Aber heute wäre es verfrüht, öffentlich über Details zu diskutieren.

Analysten der renommierten Marktforschungsfirma Gartner Group haben Microsoft ein Windows-Problem attestiert. Zu lange Entwicklungszyklen und zu viele Altlasten, lautet die Kritik. Braucht Windows einen radikalen Neuanfang?

Wir befinden uns hier in einem gewissen Spannungsbogen. Natürlich könnten wir die Entwicklungszyklen beschleunigen und mit alten Konventionen Schluss machen. Unsere Marktführerschaft bürdet uns aber auch eine gewisse Verantwortung auf. Microsoft ist Teil eines komplexen Ökosystems, wir müssen an bestehende Kunden, Partner und deren Lösungen denken. Durch diese Rückwärtskompatibilität werden ja auch deren Investitionen langfristig geschützt.

Wäre ein von Grund auf neu entwickeltes Windows nicht auch eine Chance für ein ressourcensparendes Betriebssystem, gerade auch in Hinblick auf die immer beliebteren Mini-Laptops wie den Eee-PC?

Windows Vista kommt heute schon in verschiedenen Editionen auf den Markt, die auf die Hardware optimal abgestimmt sind. Und mit Windows Mobile und Windows CE bieten wir Hard- und Softwareherstellern zusätzliche Flexibilität. Unter Ressourcenhunger leiden noch Anwender, die sehr alte PCs besitzen. Dieses Problem wird aber durch den laufenden Wechsel zu modernerer Hardware gelöst werden. Moderne PCs gehen übrigens sehr viel effizienter mit ihrer Leistungsaufnahme um und mit der Energiesparfunktion in Windows Vista lässt sich der Stromverbrauch schon in der Voreinstellung um ein Drittel reduzieren.

Welche Änderungen würden sich denn die deutschen Nutzer wünschen?

Gerade in Deutschland war der Wunsch nach einer verbesserten Sicherheitsarchitektur ausgeprägt. Dazu kommen Wünsche, die eine Unterstützung bestimmter Sprachräume betreffen.

Inwieweit ist es Microsoft möglich, solche Nutzerwünsche aus einzelnen Regionen in Neuentwicklungen einfließen zu lassen?

Microsoft lebt von den konstruktiven Rückmeldungen, die wir aus den einzelnen Märkten erhalten. Diese Wünsche werden in unseren Teams aus Technikern und anderen Fachleuten gesichtet, und wenn sie sinnvoll und machbar sind, fließen sie bei der Neuentwicklung mit ein.

Welche Verbesserungsvorschläge von Nutzern, eventuell sogar aus Deutschland, sind zum Beispiel in Windows XP oder Vista eingeflossen?

Konkret sind das Verbesserungen bei der deutschen Benutzerführung, die Vermeidung von kryptischen Fehlermeldungen und zum Beispiel die Sprachunterstützung für Sorbisch. Im Media Center sind Radio-Senderlisten nun unter dem Sendernamen speicherbar, statt wie in den USA üblich, nur als Stationsnummern mit Frequenzanzeige. Die besonders restriktiven Bestimmungen des deutschen Datenschutzes werden als Maßstab in der Produktentwicklung angesetzt. Um aber zukünftig noch besser auf lokalspezifische Anforderungen allgemein in Europa reagieren zu können, wurden in Dublin und seit kurzem nun auch in München eigene Entwicklungsteams eingesetzt.

Microsoft hat in den letzten Jahren erhebliche Mittel in die Sicherheit der Produkte investiert. Eine wissenschaftliche Studie der ETH Zürich hat festgestellt, dass Microsoft Sicherheitslücken schneller schließt als Apple und so auch weniger offene Sicherheitsbaustellen aufweist als das Unternehmen von Steve Jobs. Ist es eher schwer oder leicht, dem Publikum solche Fakten zu vermitteln?

Unsere nachhaltigen Investitionen in den Sicherheitsbereich werden in der Öffentlichkeit zunehmend anerkannt. Und so wächst beispielsweise auch der Druck auf manchen unserer Mitbewerber, an seinen Sicherheitsprozessen zu arbeiten. Und das kommt letztlich allen Anwendern zugute.

Die Fragen stellten Kurt Sagatz und Rolf Brockschmidt

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar