Interview
Fragen zu Sicherheitslücken in Windows & Co. an Microsoft
Windows und der Internet Explorer von Microsoft werden seit Jahren wegen der vielen Sicherheitslücken kritisiert. Wir wollen von Microsofts Security-Spezialisten Tom Köhler wissen, wie der Konzern künftig seine Software verbessern will. Tom Köhler ist Direktor Informationssicherheitsstrategie Microsoft Deutschland.
PC-WELT: Sehr viele Active-X-Programme für den Internet Explorer haben Sicherheits-Lücken. Warum schafft Microsoft die Technik nicht ab?
Köhler: ActiveX ist eine sehr mächtige Technologie, die aber im Gegensatz zu anderen Add-on Techniken für Browser die Möglichkeit zur Überprüfung der elektronischen Signatur bietet. Der Anwender erhält dadurch die Möglichkeit, die Herkunft der Software zu überprüfen und sollte dies auch nutzen.
Köhler: ActiveX ist eine sehr mächtige Technologie, die aber im Gegensatz zu anderen Add-on Techniken für Browser die Möglichkeit zur Überprüfung der elektronischen Signatur bietet. Der Anwender erhält dadurch die Möglichkeit, die Herkunft der Software zu überprüfen und sollte dies auch nutzen.
PC-WELT: Weshalb ist Active-X so anfällig für Sicherheitslücken?
Köhler: ActiveX ist nicht mehr oder weniger anfällig für Sicherheitslücken, als jede andere Softwaretechnologie. Mit Microsoft Visual Studio erhalten Softwareentwickler ein Entwicklungswerkzeug, mit dem sich schon im Vorfeld erkennen lässt, ob der Programmcode potenzielle Risiken, wie zum Beispiel mögliche Pufferüberläufe, enthält.
PC-WELT: Ist der Internet Explorer 7 besser als sein Vorgänger?
Köhler: Der Internet Explorer 7.0 enthält einen Phishing Filter, der dem Anwender dabei hilft, authentische Webseiten von Phishing Sites zu unterscheiden. Das allein ist schon ein großer Fortschritt vor dem Hintergrund, dass Phishing Attacken in den letzten Monaten enorm zugenommen haben Schutz, den viele Eltern dankbar annehmen.
PC-WELT: Firefox bietet eine zentrale Verwaltung für Plug-ins. Wenn es für eine beliebige Erweiterung ein Sicherheits-Update gibt, wird der Anwender darüber informiert. Warum gibt’s das nicht beim Internet Explorer?
Köhler: Der Markt für Erweiterungen für den Internet Explorer ist riesig und besitzt eine große Eigendynamik. Das hat den Vorteil, dass hier ein funktionierender Wettbewerb im Gang ist und der Anwender freie Wahl bei der Gestaltung seiner individuellen Plattform hat. Allein schon die schiere Größe dieses Marktes macht eine zentrale Verwaltung unmöglich. Realität ist aber auch, dass der Verteilmechanismus für Sicherheitsupdates nicht das Kernproblem darstellt, sondern das Auffinden und Beseitigen von Sicherheitslücken.
