Rund neun Monate ist Windows Vista nun schon auf dem Markt. Microsoft hatte für eine hohe Erwartungshaltung an die Sicherheit des neuen Betriebssystems gesorgt. Können die ersten Erfahrungen in der Praxis die Versprechungen einer sicheren Windows-Welt bestätigen?
Man könnte meinen, jeder IT-Sicherheitsverantwortliche müsste sich um das neue Windows geradezu reißen, wo doch die Sicherheit einen klaren Entwicklungs-Schwerpunkt gebildet hat. Tatsächlich wurden in Windows Vista sowohl neue als auch bewährte Sicherheitsverfahren zu einer im kommerziellen Umfeld einmaligen, weil ganzheitlichen Sicherheitsarchitektur zusammengestellt. Umso erstaunlicher ist es, dass es tatsächlich kaum Erfahrungen aus der deutschen Unternehmenswelt gibt. Kaum ein größeres Unternehmen in Deutschland hat sich in den letzten Monaten an die Migration gewagt. Auch Branchen mit sicherheitskritischer Geschäfts-IT, wie Banken und Pharmaindustrie, zögern noch.
Die Antwort auf das "Warum?" ist sicher vielschichtig, aber die wichtigsten Gründe lassen sich in drei Punkten zusammenfassen:
Geht es nach dem subjektiven Empfinden der beteiligten Mitarbeiter, so ist die letzte Migration auf eine neue Windows-Version (2000 oder XP) in vielen Unternehmen "gerade erst" überstanden. In der ersten Phase wurde oft unterschätzt, wie aufwändig der Aufbau des dafür notwendigen Fachwissens ist. Es folgten langwierige Planungszeiten und eine kostenintensive Roll-out-Phase. Die daran anschließende Nachbearbeitung zog sich in einigen Unternehmen über mehrere Jahre hin.
In einem Unternehmen ist die Implementierung einer ganzheitlichen Sicherheitsarchitektur tatsächlich eine äußerst anspruchsvolle Aufgabe. Die Integration der neuen Vista-Sicherheitstechnologie in die unternehmenseigene Sicherheitsarchitektur verlangt ein tiefes Verständnis dieser Verfahren und teilweise eine aufwändige Anpassung vorhander Sicherheitslösungen und -konzepte (vgl. [1]).
Der ganzheitliche Aspekt bei der Sicherheitsarchitektur des Windows-Clients muss sich naturgemäß auch im IT-Umfeld des Arbeitsplatzes widerspiegeln beziehungsweise von diesem unterstützt werden. Durch unternehmensspezifische Sicherheitsmaßnahmen sind viele Funktionen, die Vista heute in das Betriebssystem integriert hat, bereits mit Produkten von Drittanbietern umgesetzt worden – beispielsweise Anti-Spyware, Desktop-Firewalls oder die Sicherheitskonfiguration der Software-/Hardwareschnittstellen. Die darauf abgestimmten Prozesse für Konfiguration, Reporting und Change-Management schaffen Rahmenbedingungen, unter denen sich die Integration der Vista-Komponenten Windows-Defender, Windows-Firewall oder neuer Gruppenrichtlinien in die bestehenden Sicherheitskonzepte als sehr aufwändig erweist.
Andere Techniken, wie die Geräteauthentifizierung mit IEEE 802.1x (Stichwort EAP), die Netzwerkverschlüsselung im LAN mit IPsec oder signaturgesicherte Dokumenten-Workflows, die durchaus zu einer zeitgemäßen Sicherheitsarchitektur passen, sind immer noch zu teuer oder administrativ zu aufwändig. Der diesbezügliche Innovations-Stau in vielen Unternehmen beruht schlicht auf der mangelnden Verfügbarkeit handhabbarer und bezahlbarer Systeme.
Die Frage lautet nun: Wie lässt sich eine schrittweise Migration durchführen, ohne dass man auf die Modernisierung der gesamten IT-Landschaft angewiesen wäre? Auch um diese Frage zu beantworten, ist ein vertieftes Verständnis vonnöten, welche Sicherheitstechnologie im neuen Windows Vista steckt und wie sie sich in die allgemeinen Sicherheitsmodelle einordnet (vgl. [2]).
In den fünf Editionen von Windows Vista sind nicht alle Sicherheitsverfahren in gleichem Maße enthalten: Je nach Zielgruppe werden bestimmte Werkzeuge entweder angeboten oder deaktiviert. So ist das Festplattenverschlüsselungsprogramm BitLocker nur in Vista Enterprise vorhanden, während es den Jugendschutz mit einer vollständigen Überwachung der Benutzerkonten nur in den Editionen Vista Home Basic und Home Premium gibt. Lediglich die teuerste Variante, Vista Ultimate, verfügt über alle Funktionen. Allein die Vielfalt der Editionen hat für einige Verwirrung gesorgt, die nicht selten durch die Wahl des Desktop-Lieferanten in Form der vorinstallierten OEM-Version entschieden wurde; für Unternehmensinstallationen ist dies meist Windows Vista Business.
Die auffälligste sicherheitstechnische Neuerung in Vista ist der Benutzerkontenschutz (User Account Control, UAC). Die erste Reaktion in vielen Computermagazinen bestand zum stillen Entsetzen sicherheitsbewusster Anwender darin, Anleitungen dafür zu geben, wie dieses Berechtigungsschema zu deaktivieren ist. Allerorten wurde betont, wie nervtötend die entsprechenden Benutzerhinweise seien. Dabei ist dies eine der wichtigsten Sicherheitsfunktionen, die ein Vertrauen in die Integrität des Systems überhaupt erst ermöglichen.
Es geht dabei nicht allein um die dynamische Einschränkung des Administratorkontos, mit der zwangsweise interaktiven Freigabe privilegierter Prozesse, die vor allem Informations-Beipässe (Covert Channels) durch Keylogger und Trojaner erschwert. Auch die Windows-Dienste wurden in das Berechtigungskonzept integriert: So laufen nur noch wenige Dienste mit Systemberechtigungen; die meisten Netzwerkdienste arbeiten in einem eigenen Netzwerkkonto, für das automatisch kontenbezogene Firewall-Regeln in der Windows-Firewall angelegt werden. Auch der Internet Explorer hat einen geschützten Modus erhalten, dem das Recht entzogen wurde, ohne Weiteres auf die Daten des Anwenders zuzugreifen.
Hinter all dem steckt das Prinzip der Mandatory Integrity Controls (MIC), ein Modell nach Bell-LaPadula, das zunächst vor allem im militärischen Bereich Anwendung fand. Da es in der Industrie zu restriktiv und schwer handhabbar erschien, konnte es sich dort auch bei hohen Sicherheitsanforderungen nicht durchsetzen. In Windows Vista wurde MIC erstmals mit einigen klugen Ansätzen in einem auf Integrität basierendem Sicherheitsmodell implementiert. Ironischerweise vor allem deshalb, um die Komplexität der Berechtigungsprozesse zu verbergen: Die Sicherheit sollte bei größtmöglicher Flexibilität für den Anwender möglichst ohne dessen Eingreifen erhöht werden. Viele Mechanismen des Benutzerkontenschutzes und der Integritätsstufen (Integrity Level) spielen sich daher vollkommen automatisch und weitgehend ohne Interaktionen ab.
Um das neue Berechtigungssystem herum sind zahlreiche Schutzmaßnahmen aufgebaut: Der bewährte Dreisatz "Updates, Firewall, Virenschutz" wird in Vista im erweiterten Sicherheitscenter zusammengefasst und macht den Zustand des Basisschutzes auf einen Blick sichtbar. Dadurch wird auch der Anwender, in dessen Blickfeld die Sicherheitsmeldungen auftauchen, in das Sicherheitsmodell eingebunden. Die Hintergrundprozesse für Updates, Firewall und Virenschutz lassen sich jedoch unternehmensspezifisch konfigurieren und zentral verwalten.
Hinzu kommt die zentrale Sicherheitskonfiguration mit knapp 2500 Gruppenrichtlinien. Aus Sicherheitsgründen sollte man für kritische Anwendungsfälle jede dieser Richtlinien bewerten können – dies bedeutet einen ungeheueren Aufwand für die Erstellung des zugehörigen Sicherheitskonzepts. Zudem: Ohne eine umfangreiche Dokumentation der Funktionen des Betriebssystems lässt sich diese Sicherheitseinschätzung nicht durchführen. Und eine solche detaillierte Dokumentation wurde erst in den letzten Monaten bereitgestellt und ist teilweise noch immer Gegenstand umfangreicher Änderungen. Dies ist kritisch für einen professionellen Unternehmenseinsatz, erst recht wenn in diesem ein Qualitätssicherungs-Programm stattfindet.
Der Programmcode von Windows Vista basiert auf einer Weiterentwicklung des Windows Servers 2003; an den einigen tausend Funktionen des Betriebssystems entwickeln über 500 Teams. Dies belegt, wie umfangreich dieses Projekt ist. Das mit dem Erscheinen von Vista am Anfang dieses Jahres noch nicht alles fertig war, beweisen rund 40 Quick Fixes bis zum September 2007.
Um am Ende ein sicheres Betriebssystem zu erhalten, hat Microsoft während der Entwicklungsphase mehrere Fronten eröffnet: Der Hersteller hat zunächst erkannt, dass das Betriebssystem nur zuverlässig und integer sein kann, wenn sich das Sicherheitsmanagement über den gesamten Software-Lebenszyklus erstreckt. Dies beginnt bei einem strukturierten Entwicklungsprozess sowie der Bereitstellung einer umfangreichen Dokumentation und geht über die Unterstützung des sicheren Betriebs durch die dafür notwendigen Werkzeuge bis hin zur Unterstützung der Migration auf die nächste Generation durch geeignete Assessment-Tools und -Anwendungen. Beim Einsatz des Betriebssystems muss es analog unterstützende Prozesse im Unternehmen geben; hierzu gehören zumindest das Change- und Patch-Management, das Incident- und Configuration-Management sowie Security-Audits.
Die Schwierigkeit bei der Etablierung eines wirksamen Sicherheitskonzepts für das Betriebssystem liegt aber nicht nur in der Einrichtung der notwendigen Sicherheitsprozesse begründet. Vista wurde für ein breites Publikum entwickelt – wesentliche Paradigmen der Sicherheit wie das Minimalitätsprinzip spiegeln sich nicht in der Funktionseinschränkung der fünf verschiedenen Editionen wider. Sie unterscheiden sich trotz der unterschiedlichen Zielgruppe nur unwesentlich in der Zahl an Diensten und Schnittstellen, welche die Hauptangriffsflächen darstellen. In jeder der fünf Editionen stehen unzählige sicherheitskritische Systeme bereit: Dienste, Prozesse, Programme, Systemanwendungen, Programmierschnittstellen (APIs: COM, COM+, DCOM, RPC), Programmbibliotheken (DLLs), mobiler Programmcode (OCX), wiederverwendbarer Metacode (Assemblies), heikle Anwendungserweiterungen (BHOs und Plug-ins) oder Interpretersprachen (cmd, CScript, WScript, meist auch Powershell, Ironpython, VBA).
Die Sicherheitskonzepte der meisten Unternehmen regeln die Benutzerberechtigungen und die Grundkonfiguration, wie Benutzeroberfläche, Dateisysteme und Netzwerkkonfiguration. Vista stellt diese bestehenden Sicherheitskonzepte jedoch vor eine neue Herausforderung: Bei der Nutzung der neuen Konnektivität des Betriebssystems in Hinblick auf die enthaltenen Multimediaprotokolle, XAML und Web 2.0, Peer-to-Peer-Anwendungen und die dynamische Gerätesteuerung per Universal Plug-and-Play (UPnP) sind sich viele Organisationen noch nicht einig, welche Sicherheitsimplikationen damit verbunden sind. Die notwendigen Grundsatzentscheidungen sind daher von den jeweiligen Sicherheitsverantwortlichen noch gar nicht getroffen. Der immense Umfang an sicherheitsrelevanten Aspekten, die vor dem Einsatz in kritischen Bereichen zu bewerten sind, ist ein weiterer Grund dafür, dass die Einführung von Vista in vielen Unternehmen auf sich warten lässt.
Die Komplexität des Betriebssystems bleibt dem Anwender in der Regel verborgen: Das Sicherheitsmodell für die Berechtigungen ist vorkonfiguriert. Die meisten Sicherheitseinstellungen in der Registry, im Internet Explorer und im Dateisystem sind für die überwiegende Zahl der Anwendungsfälle ausgewogen. Damit wird ein wichtiges Sicherheitsparadigma umgesetzt: "Keep it simple". Anwender und Administratoren erhalten jeweils ein vorkonfiguriertes System mit – gemessen an der Zahl enthaltener Verfahren – wenigen Konfigurationsschnittstellen. Zusammen mit der zentralen Verwaltung lässt sich eine Funktionstrennung zwischen Administrator und Anwender vornehmen.
Der Anwender übernimmt nun jedoch auch selbst eine wichtige Aufgabe: Einige Sicherheitsfunktionen binden ihn intensiver als bisher in die Sicherheit ein und machen ihn damit bewusst zum Teil der Sicherheitsorganisation. Dazu gehören die Hinweise des Sicherheitscenters bei erkannten Problemen, farblich kodierte Warnhinweise bei fehlerhaften Zertifikaten in Browser und E-Mail, die Kennzeichnung administrativer Prozesse und vieles mehr. Dies kann als Chance gesehen werden, Anwender besser zu sensibilisieren und diese Vorgänge zum integralen Bestandteil der Arbeit am Computer zu machen. Allerdings müssen die Anwender auch entsprechend vorbereitet werden, denn ansonsten wird – wie ein Seitenblick auf die kritischen Artikel in Computermagazinen zeigt – genau das Gegenteil erreicht.
Während die Sicherheit des Betriebssystemkerns und die Berechtigungsmodelle konsistenter geworden sind, erhält die Sicherheit der Anwendungsschicht auf Basis der .NET-Programmierumgebung eine neue Dimension. Die Sicherheitsarchitektur auf der Anwendungsschicht ist zwar mit den Security-Mechanismen auf der Betriebssystemebene verknüpft, aber für die Sicherheit der Anwendungsschicht wurde eine eigene Architektur mit Benutzerverwaltung, Zugriffsschutz der Prozesse und zertifikatsbasierter Versionsverwaltung entworfen. Auf der Ebene der Anwendung und der darin enthaltenen Daten kann somit eine vollkommen eigenständige Sicherheitsarchitektur aufgebaut werden (s. [3]).
Dies trennt die Verwaltung der Anwendungssicherheit von jener der Betriebssystemsicherheit. An den Stellen, wo Anwendungen jedoch auf die Ressourcen des Betriebssystems zugreifen, ist eine nähere Betrachtung des Sicherheitsmodells notwendig. Hier müssen schon bei der Entwicklung der Anwendung die Sicherheitsmechanismen, wie Benutzerkontensteuerung, Integritätsschutz und Assembly-Verwaltung, korrekt angesprochen werden. Die Erfahrungen der letzten Monate haben leider gezeigt, dass selbst namhafte Hersteller damit (zumindest noch) nicht umgehen können. Fehlerhafte Treiber mit Brücken aus dem Benutzerkontext in den Kernel-Mode, Grafik-Anwendungen, die zwingend im Administratorkontext arbeiten wollen und Sicherheitssoftware, die gesicherte dedizierte APIs umgeht, sind nur einige Beispiele dafür.
Windows Vista enthält noch viel bisher ungenutztes Potenzial für ein wirksames Sicherheitskonzept. Die bordeigenen Sicherheitsmaßnahmen sind in ihrer Gesamtheit nur wenigen bekannt; auch die Wirksamkeit dieser Funktionen muss sich noch bewähren. Der Aufbau des notwendigen Know-hows und die Entwicklung geeigneter Sicherheitskonzepte wird noch eine gehörige Zeit in Anspruch nehmen.
Die Windows-Gesamtarchitektur ist aber ohnehin noch nicht vollständig: Dazu fehlt noch Windows Server 2008, der erst Anfang nächsten Jahres erscheinen soll. Erst damit werden weitere Gruppenrichtlinien, zertifikatsbasierte IPsec-Verbindungen und der Netzwerkzugriffsschutz nutzbar sein.
Auch wenn die Architektur des neuen Betriebssystems relativ komplex ist und die Migration sich daher anspruchsvoll gestaltet: Sicherheitstechnisch ist Vista seinem Vorgänger Windows XP inzwischen ein großes Stück voraus. Mit den neuen Funktionen steigt jedoch auch der Verwaltungsaufwand für einen sicheren Betrieb. Wollte man alle neuen Funktionen durch eigens entwickelte Sicherheitsmaßnahmen kontrollieren, würden sicher auch die Betriebskosten proportional zunehmen. Die Praxis muss noch zeigen, ob die Integration der Sicherheitsfunktionen in das Betriebssystem diese Kosten weniger stark steigen lässt.
Marcus Nasarek ist Buchautor [2] und IT-Security Analyst der Postbank Systems AG.
![[externer Link]](../../../../images/link.gif)
www.information-security-management.de
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#5, Seite 6
tag:kes.info,2007:art:2007-5-006
| 