Am 15. Januar 2002 leitete Bill Gates mit einer berühmt gewordenen E-Mail einen Sinneswandel ein. Erst bei sämtlichen Microsoft-Mitarbeitern, in der Folge dann in der IT-Industrie: IT-Sicherheit, Datenschutz und verlässliche IT-Systeme werden unabdingbar sein, so Gates. Microsofts Initiative zum Trustworthy Computing setzte Maßstäbe hinsichtlich neuer Sicherheits- und Datenschutzstrategien – und wird das auch in der Ära des Cloud Computing tun.

Ganz freiwillig kam Bill Gates nicht zu den in seinem Memo formulierten Schlussfolgerungen: Der an alle Microsoft-Mitarbeiter verschickten Nachricht gingen die massenhaften Wurminfektionen durch Schädlinge wie Code Red, Nimda oder die I-love-you-Malware voraus. Manche Malware infizierte Millionen von Computern weltweit. Gleichzeitig spielt das Internet eine immer größere Rolle und Anwender wie Unternehmen erwarten verlässlich arbeitende IT-Systeme – die zudem den immer neuen Cyber-Gefahren möglichst gut geschützt gegenüber treten.

Um diese Ziele trotz der absehbaren Bedrohungen zu erreichen, forderte Bill Gates von den Microsoft-Mitarbeitern, Trustworthy Computing (TwC) in den kommenden zehn Jahren zu ihrer obersten Priorität zu machen. Gates wollte, dass die von Microsoft hergestellten Produkte „so verfügbar, verlässlich und sicher sind wie die Versorgung mit Strom, Wasser und Telefon.“ Inzwischen nutzen über zwei Milliarden Menschen das Internet, Computer sind fest mit unserem Alltag verwoben – genau wie der Microsoft-Gründer es in seinem Memo seinerzeit formuliert hat. TwC wurde also genau zur richtigen Zeit ins Leben gerufen. Denn das Vertrauen der Kunden ist das wertvollste Gut eines Unternehmens. Ohne TwC und seine Resultate wäre Vertrauensverlust wohl unvermeidbar gewesen – für Microsoft, aber auch für alle andere IT-Unternehmen.

Die Initiative hat der IT-Welt – und somit allen PC- und Internetnutzern sowie Unternehmen und anderen IT-Herstellern – in den vergangenen Jahren etliche Neuerungen und bislang unbekannte Konzepte beschert. Dazu gehören das im Jahr 2004 entscheidend verbesserte Windows Update, das wichtige Sicherheitsupdates automatisch herunter lädt und installiert. Das rasche Verteilen der Updates ist immens wichtig im ewigen Wettlauf gegen Angreifer, die Schwachstellen in Software gnadenlos und extrem schnell missbrauchen. Ähnliche Updatemechanismen finden sich inzwischen in zahlreichen anderen Softwareprodukten von verschiedensten Herstellern. So konnten Qualität und Verlässlichkeit der Anwendungen und Systeme kontinuierlich gesteigert werden.

Weniger offensichtlich für Anwender, aber noch wichtiger als Windows Update ist der ebenfalls durch TwC ins Leben gerufene Security Development Lifecycle (SDL). Er ist die Grundlage für das Entwickeln von sicherer, weitgehend fehlerfreier Software bei Microsoft und hat für riesige Fortschritte hinsichtlich der Qualität des Sourcecodes und somit aller Anwendungen und Betriebssysteme gesorgt. Inzwischen stehen der SDL und zahlreiche damit verbundene Tools auch Entwicklern außerhalb Microsofts zur Verfügung. Bekannte Namen wie Adobe und Cisco haben den SDL und seine Konzepte adaptiert, um ihren eigenen Produkten ebenfalls zu mehr Widerstandsfähigkeit zu verhelfen.

Und auch abseits des SDL hat sich Microsoft in den vergangenen zehn Jahren engagiert, um die gesamte IT-Welt ein Stück weit sicherer zu machen. Denn kein Unternehmen, keine Einzelperson und keine Technik können im Alleingang den notwendigen Wandel hin zu mehr Sicherheit und Datenschutz stemmen. Gemeinsam mit Partnern und Regierungsbehörden hat Microsoft beispielsweise riesige Botnets – also Verbünde von mit Schadsoftware infizierten PCs – ausgeschaltet. Mit dem Blue Hat Prize wurde ein hoch dotierter Wettbewerb ins Leben gerufen, dessen Resultate allen IT-Herstellern helfen sollen, ihre Produkte gegen eine besondere Form von Schwachstelle abzusichern. Und mit PhotoDNA, einer von Microsoft Research entwickelten Software, engagiert sich der Softwarekonzern aktiv im Kampf gegen die Verbreitung von Kinderpornographie.

All das ist nicht genug und Trustworthy Computing bleibt ein weiterhin andauerndes Unterfangen. Wir haben mit TwC Großes erreicht. Aber es gibt nach wie vor viel zu tun. Das Zeitalter des Cloud Computing verspricht bahnbrechende Neuerungen für Nutzer und Unternehmen. Gleichzeitig stellt uns die Technik vor neue Herausforderungen, denen wir mit unserem Ansatz der Corporate Technical Responsibility begegnen. Die in TwC gebündelten Initiativen wurden aber seinerzeit mit soviel Weitsicht konzipiert, dass wir auch in Zukunft auf diese Konzepte bauen können.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.