Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.198 Produkten

Christiane Schulzki-Haddouti 228

Microsoft lässt Regierungen kontrolliert in den Quellcode blicken

Microsoft lässt Regierungen kontrolliert in den Quellcode blicken

Blick in das Brüsseler Transparency Center

Bild: Microsoft

In Brüssel hat Microsoft ein "Transparency Center" eröffnet. Dort können Regierungsvertreter den Windows-Quellcode einblicken – aber nur dort in einer streng überwachten Umgebung und zu kontrollierten Bedingungen.

Microsoft hat in Brüssel ein so genanntes Transparency Center eröffnet. Hier können Interessierte Einblick in den Windwos-Quellcode sowie in technische Dokumentationen nehmen. Damit will Microsoft mehr Vertrauen bei den Beschaffern in staatlichen Behörden erzeugen, die in Hinblick auf den Schutz von kritischen Infrastrukturen zunehmend höhere Sicherheitsanforderungen stellen. So sollen etwa in Deutschland auf Basis des IT-Sicherheitsgesetzes die betroffenen Branchen gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Mindestsicherheitsstandard vereinbaren. Das Gesetz wird derzeit im Bundestag beraten.

Anzeige

Ein erstes Transparency Center hatte Microsoft vergangenes Jahr in Redmond eröffnet. Die Einrichtung in Brüssel lädt die Teilnehmer von Microsofts "Government Security Program" ein, den Source Code "zu überprüfen und zu bewerten". Inzwischen gehören 42 Behörden aus 23 Regierungen dem Programm an, darunter auch das BSI.

In Deutschland muss laut Paragraph 11 Bundesdatenschutzgesetz der Auftraggeber eine absolute Kontrollmöglichkeit über die Datenverarbeitung haben, die der Auftragnehmer vornimmt. Datenschützer beziehen dies auch auf das Betriebssystem und seine Updates. Die Kontrollmöglichkeit muss zumindest theoretisch gegeben sein.

Die Räumlichkeiten des Transparency Center sollen für die Teilnehmer aber die einzige Möglichkeit bleiben, den Quellcode einzusehen. Die Einsicht erfolgt unter kontrollierten Bedingungen. So werden etwa die Räume mit mehreren Videokameras und "weiteren Sicherheitsmaßnahmen" überwacht, erklärt ein Microsoft-Sprecher gegenüber heise online, "um sicherzustellen, dass unser geistiges Eigentum und unsere Informationen geschützt und sicher sind".

Die Sicherheitsexperten der Regierungen sollen alle möglichen "statischen und dynamischen Tools" zur Analyse einsetzen dürfen, wobei Microsoft diese zuvor kontrolliert. Falls die Sicherheitsexperten dann Fehler und Schwachstellen finden, will Microsoft darauf "unmittelbar" reagieren können.

Experten sind sich aber unsicher darüber, ob die geprüfte Version derjenigen entspricht, die später zum Einsatz kommt. Microsoft verweist hier nur auf eine eigene "Methodik", die Regierungen eine "genügende Zusicherung" geben soll. Ob so die durchaus verbreitete Sorge vor möglicherweise eingebauten Backdoors des FBI oder der NSA beseitigt werden kann, ist offen.

Inzwischen gelten herkömmliche Zertifizierungen des kompletten Betriebssystems etwa nach Common Criteria organisatorisch wie technisch als undurchführbar. Vor zehn Jahren konnte noch eine EAL4+-Zertifizierung von Windows-Servern durchgeführt werden. Das heißt, die Zertifizierer hatten hierfür auch Einblick in den Quellcode.

Eine Zertifizierung der neuen Windows-Versionen 8 und 10 nach Common Criteria EAL4+ hält das BSI inzwischen für unmöglich, da das System mittlerweile zu komplex ist. Nur noch einzelne Aspekte oder Konfigurationen könnten überprüft werden. Diese müssten jedoch dem späteren Einsatzszenarium entsprechen, um einen tatsächlichen Mehrwert zu bieten. Ein weiteres Problem für Windows 10 besteht darin, dass es keine finalen Releases mehr geben wird. Dies bedeutet, dass jede kleine Änderung überprüft werden müsste, was als nicht machbar angesehen wird.

Anzeige

Das BSI "begrüßt" jedoch die Microsoft-Initiative und mahnt gleichzeitig an: "Damit hierbei ein begründetes Vertrauen entstehen kann, sind jedoch umfangreiche fachliche Voraussetzungen zu erfüllen, um gegebenenfalls vorgenommene Prüfungen nicht oberflächlich und wenig aussagekräftig bleiben zu lassen." Diese Voraussetzungen diskutiere die Behörde im bestehenden fachlichen Austausch mit Microsoft sowie weiteren großen IT-Herstellern. (Christiane Schulzki-Haddouti) / (anw)

228 Kommentare

Themen:

Anzeige
  1. Bund will Windows 10 über Bundesclient sicher nutzen können

    Bund will Windows 10 über Bundesclient sicher nutzen können

    Um den Einsatz von Windows 10 rechtskonform und sicher zu gestalten, lässt der Bund für seine Verwaltung den sogenannten Bundesclient entwickeln. Über dessen Sicherheitseigenschaften schweigt sich das Bundesinnenministerium allerdings aus.

  2. Frühbucherrabatt sichern: Heise Cloud-Konferenz 2017

    Heise Cloud-Konferenz 2017: Call for Proposals gestartet

    Am 17. Oktober 2017 präsentieren c’t und iX die erste gemeinsame Heise Cloud-Konferenz. Cloud-Anwender, -Experten und Entscheider treffen sich zum Austausch über praktische Erfahrungen mit Private, Hybrid und Public Cloud.

  3. WannaCry: Was wir bisher über die Ransomware-Attacke wissen

    WannaCry: Was wir bisher über die Ransomware-Attacke wissen

    Es begann am Freitagabend mit Schreckensmeldungen aus Großbritannien: Computer des nationalen Gesundheitssystem waren von einer Ransomware infiziert. Inzwischen hat sich WannaCry weltweit verbreitet.

  4. Microsoft: Windows-10-Spezialversion für China ist einsatzbereit

    Windows 10

    Der China-Chef von Microsoft, Alain Crozier, hat die seit einem guten Jahr entwickelte Sonderausgabe von Windows 10 für die chinesische Regierung als marktreif bezeichnet. Der Fokus liegt auf Sicherheits- und Kontrollfunktionen.

  1. LattePanda ausprobiert: Einplatinen-Computer mit Windows 10 und Intel-CPU

    LattePanda Anschlüsse

    Windows-Fans aufgepasst: Dieser kleine Kerl ist nur etwas größer als ein Raspberry, läuft aber mit Windows 10 Home und hat einen Arduino Leonardo mit an Bord. Damit entwickelt man bequem Software für Mikrocontroller und muß nicht auf andere Windows-Programme verzichten.

  2. So sichern Sie Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen können Sie sich gegen Lösegeldforderungen schützen.

  3. Ist Open Source Software wirklich sicherer?

    Open Source-Software gilt als sicherer als proprietäre Software - doch stimmt das wirklich? Wir machen den Praxis-Check.

  1. Löschanlagen-Ton zerstört Festplatten in schwedischem Rechenzentrum

    Rechenzentrum

    Der extrem laute Ton einer Gaslöschanlage hat in einem Rechenzentrum in Schweden zahlreiche Festplatten beschädigt. Der Börsenhandel in Skandinavien war deshalb stundenlang beeinträchtigt.

  2. heise devSec 2018: Call for Proposals um eine Woche verlängert

    heise devSec 2018: CfP um eine Woche verlängert

    Bis zum 29. April haben Experten nun noch Zeit, ihre Vorträge für die Konferenz zum Thema sichere Softwareentwicklung einzureichen.

  3. Erste Ausfahrt: Mercedes A 200

    Mercedes A-Klasse

    Die vierte A-Klasse ist ein hervorragendes Auto geworden, wie eine erste Ausfahrt zeigt. Eindrucksvoll ist der Vorsprung im Bereich Infotainment. Ein Modell für die breite Masse ist es aber nicht, denn Mercedes langt selbst für Kleinigkeiten heftig zu

  4. Kabellose Bluetooth-Kopfhörer: Neun Modelle im Test

    Kabellose Bluetooth-Kopfhörer: Neun Modelle im Vergleichstest

    Zwei winzige Ohrstöpsel, kein Kabel, keine Bügel – wem Komfort beim Musikhören wichtig ist, sollte zu kabellosen Ohrhörern greifen. Hält der Klang unter der gewonnenen Bewegungsfreiheit Schritt?

Anzeige