end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted...

24
Wie man durchgängiges Vertrauen schafft end-to-end-trust: scott charney* corporate Vice President trustworthy computing microsoft corp. * diese Veröffentlichung profitiert von der mitarbeit vieler experten, die wichtige ergänzungen beigesteuert und so substanziell zum gelingen beigetragen haben. dazu lesen sie bitte anhang a, der eine – wenn auch unvollständige – Liste der Beteiligten enthält.

Transcript of end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted...

Page 1: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

1End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

Wie man durchgängiges Vertrauen schafft

end-to-end-trust:

scott charney* corporate Vice Presidenttrustworthy computing microsoft corp.

* diese Veröffentlichung profitiert von der mitarbeit vieler experten, die wichtige ergänzungen beigesteuert und so substanziell zum

gelingen beigetragen haben. dazu lesen sie bitte anhang a, der eine – wenn auch unvollständige – Liste der Beteiligten enthält.

Page 2: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

2 End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

die in diesem dokument enthaltenen informationen legen die zum Veröffentlichungszeitpunkt aktuelle sicht von microsoft corporation zu den hierin besprochenen themen dar.

dies ist eine Übersetzung aus dem amerikanischen. einige formulierungen und Vergleiche entsprechen nicht dem europäischen sprachgebrauch. es war jedoch eine anforderung an die Übersetzung, nah am original zu bleiben.

dieses dokument dient lediglich der information. microsoft ÜBernimmt Keine haftung fÜr die im doKument enthaLtenen informationen, ungeachtet oB eXPLiZit, imPLiZit oder Vom gesetZ VorgeschrieBen.

microsoft ist unter umständen im Besitz von Patenten, Patentanmeldungen, Warenzeichen, copyrights oder sonstigem anspruch auf geistiges eigentum hinsichtlich der inhalte des vorliegenden dokuments. außer im fall einer ausdrücklichen Lizenzvereinbarung mit microsoft berechtigt sie die Bereitstellung des dokuments nicht zur nutzung dieser Patente, Warenzeichen, copyrights oder sonstigen ansprüche.

© 2008 microsoft corporation. alle rechte vorbehalten. microsoft, microsoft Press, internet explorer, Windows und Windows Vista sind entweder eingetragene Warenzeichen oder Warenzeichen von microsoft corporation in den Vereinigten staaten beziehungsweise anderen Ländern.

die namen von unternehmen und Produkten, die in diesem dokument veröffentlicht werden, sind unter umständen Warenzeichen im Besitz der jeweiligen eigentümer.

Page 3: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

3End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

inhaLt

1. einführung 4

2. die microsoft-sicherheitsstrategie 6

3. die entwicklung der sicherheitsstrategie: die entstehung von trusted stack und die Verwirklichung von end-to-end-trust 8

4. erste gedanken zum thema identität 10

5. die Vorteile von trusted stack 11

6. Vernünftige sicherheitsziele setzen 12

7. der Weg nach vorn 13

a. trusted devices (vertrauenswürdige geräte) 14

B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14

c. trusted applications (vertrauenswürdige anwendungen) 15

d. trusted People (vertrauenswürdige menschen) 16

e. trusted data (vertrauenswürdige daten) 17

f. die revision 17

8. offensichtliche herausforderungen 19

9. Zusammenfassung 22

anhang a 23

Page 4: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

4 End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

1 | einfÜhrung

es ist sicher nicht übertrieben, wenn ich behaupte, dass das internet unser Leben verändert hat. der alte dorfplatz ist als soziales netzwerk ins internet umgezogen, Bürger bloggen, anstatt Leserbriefe an Zeitungen zu schreiben und e-commerce-sites haben den globalen Wettbewerb auf an sich regio-nalen märkten entfacht. mit der zunehmenden nutzung des internets steigt aber auch die cyber-kriminalität. die Bandbreite der kriminellen aktivität, die durch das internet möglich wird, ist enorm und richtet sich gegen Verbraucher (z. B. anwender werden zum „Bot“, identitätsdiebstahl, jugendge-fährdende inhalte), gegen unternehmen (diebstahl gespeicherter, personenbezogener daten, Wirt-schaftsspionage, erpressung durch androhung von denial-of-service-angriffen) und gegen staaten („informationskrieg“). ohne frage missbrauchen kreative, anpassungsfähige und raffinierte Krimi nelle das internet mit verheerender Wirkung. Laut gartner „sind Phishing-angriffe in den Vereinigten staaten 2007 rapide gestiegen. die Kosten dieser angriffe betragen 3,2 milliarden us-dollar. aus einer umfrage geht hervor, dass zwischen august 2006 und august 2007 3,6 millionen erwachsene durch Phishing-angriffe geld verloren haben – im Vergleich zu 2,3 millionen im Vorjahr.“1 Behörden äußern sich besorgt über die öffentliche und nationale sicher-heit und warnen vor den gefahren des informati-onskriegs. und in der tat, wenn wir von den potenziellen Vorteilen der online-aktivität profitie-ren wollen, muss die sicherheit im internet steigen.

gleichzeitig wachsen die sorgen in Bezug auf den umgang mit vertraulichen persönlichen daten im digitalen Zeitalter. ein teil dieser sorgen geht auf das Konto der cyberkriminellen, weil manche delikte auf den diebstahl und missbrauch persönlicher informationen abzielen. aber die Bedenken an der Wahrung der Privatsphäre sind viel größer als eine allgemeine Besorgnis um die öffentliche sicherheit. es existieren darüber hinaus Bedenken über die

menge an daten, die wir in unserem elektronischen Leben erzeugen; Bedenken darüber, wie diese daten gesammelt, ausgewertet, analysiert, verbreitet und benutzt werden können. dieses Papier befasst sich mit den sicherheits- und Vertrauensvorteilen, die aus den Bemühungen zur Bekämpfung der cyberkriminalität entstehen und dem Benutzer mehr Kontrolle über die eigene digitale identität geben. eine diskussion, die sich mit den gefahren für die Privatsphäre im allgemeinen befasst, soll hier bewußt nicht stattfinden. obwohl dieses dokument die sicherheit und nicht die Wahrung der Privatsphäre behandelt, ist es wichtig, das Zusammenspiel dieser beiden Bereiche zu verstehen. das wesentliche Ziel von sicherheit liegt im schutz von Vertraulichkeit, integrität und der Verfügbarkeit von daten und systemen – also genau den attributen, die Kriminelle bevorzugt an greif en. dort, wo die sicherheit die Vertraulichkeit von daten schützt, dient sie auch dem schutz der Privatsphäre. aber oft bedeutet sicherheit das Pro to kollieren der aktivitäten einer einzelnen Person (sowohl als Beweis für vergangene taten in form von revisionsprotokollen als auch als Beweis für aktuelle aktivitäten durch die aufzeichnung von tastaturein-gaben). in diesem Zusammenhang gehört zur sich er heit auch die Überwachung, und das führt zwangsläufig immer wieder zu ernsten Bedenken hinsichtlich des schutzes der Privatsphäre – ein wichtiger Konflikt, den man im auge behalten muss, wenn man sich mit der zunehmenden cyberkrimina-lität auseinandersetzt.

1 gartner, inc. „gartner-umfrage zeigt starke Zunahme von Phishing-angriffen 2007. Über drei milliarden us dollar verloren aufgrund von attacken.“

17. dez. 2007: eine vom u.s. department of Justice (us Justizministerium), dem Bureau of Justice statistics (Büro für Juristische statistiken), dem u.s. department of homeland security (us ministerium für nationale sicherheit) und der national cyber security division (abteilung für nationale cyber-sicherheit) initiierte umfrage zur nationalen computersicherheit sollte offizielle, landesweite statistiken zu computer-sicherheitsereignissen liefern. allerdings wurden die ergebnisse noch nicht veröffentlicht. siehe http://www.ojp.usdoj.gov/bjs/survey/ncss/ncss.htm.

die angriffe können zu einem rückgang in der nutzung von informationstechnologien führen. obwohl onlinebanking weiterhin zunimmt, glauben einige Benutzer, dass die sorge vor Betrug dazu führt, dieses Wachstum um 1–2 Prozent zu reduzieren. darüber hinaus zeigen die forschungsergebnisse, dass Verbraucher, die onlinebanking nutzen, mehr online-aktivitäten ausführen würden, wenn sie sich dabei sicherer fühlten. siehe „click! online banking usage soars“ (Klick – starkes Wachstum bei der inanspruchnahme von onlinebankingdiensten) unter http://www.msnbc.msn.com/id/6936297/.

Page 5: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

5End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

unser fokus auf die sicherheit ist sinnvoll, weil sich das internet immer wieder als großartiges medium für kriminelle aktivitäten erweist. dabei wurde es ursprünglich ohne Befürchtungen um sicherheit entworfen (die ursprüngliche „Benutzergruppe“ bestand aus vertrauenswürdigen menschen, die für oder im auftrag der us-regierung arbeitete).

aber das internet zeichnen vier wesentliche dinge aus, die es für angreifer interessant machen: (1) die globale Konnektivität; (2) die anonymität2 ; (3) die mangelnde nachvollziehbarkeit und (4) wertvolle Ziele. dazu kommt, dass die meisten computerbe-nutzer nicht wissen, welche Programme auf ihrem computer laufen, zu welchen anderen computern ihre geräte eine Verbindung aufbauen und mit wem sie es am anderen ende zu tun haben. das erhöht die erfolgschancen von Kriminellen, die ihre opfer auf elektronischem Wege finden, beträchtlich, weil sie nicht befürchten müssen, entdeckt und für ihre aktivitäten belangt zu werden.

Wir dürfen annehmen und hoffen, dass die nutzung und reichweite des internets weiterhin zunehmen werden und damit noch mehr online-aktivität ent steht. und tatsächlich bedingen neue Konnekti-vitäts-modelle wie beispielsweise „anywhere access“ (bei dem Peer-to-Peer-Verbindungen neue geschäfts-modelle unterstützen und die nutzer in die Lage versetzen, von jedem gerät und von jedem ort auf ihre daten zuzugreifen) eine Zunahme der globalen Konnektivität und erhöhen damit gleichzeitig die Zahl lohnender Ziele. das wiederum lässt auf eine weitere Zunahme der kriminellen aktivität schließen. grund genug für uns, um nach einem Weg zu suchen, der sowohl die sicherheit der computernetzwerke verbessert als auch den menschen die Kontrolle über die eigene computerumgebung zurückgibt.

obwohl microsoft corporation und viele andere organisationen wesentliche schritte unternommen haben, um die sicherheit und Vertrauenswürdigkeit der eigenen Produkte und services in unserer zunehmend vernetzten Welt zu verbessern, reichen diese aktivitäten in den augen vieler potenzieller nutzer nicht aus, um das internet ausreichend sicher und vertrauenswürdig zu machen. daher versteht sich dieses Papier als einladung, um zu besprechen, wie man „die spielregeln grundlegend ändern“ kann. außerdem bietet es einen rahmen für die diskussion der vielen sozialen, politischen, wirt-schaftlichen und technologischen fragen, die wir ansprechen müssen, wenn wir ein internet schaffen wollen, dass wesentlich sicherer ist und wesentlich mehr Vertrauenswürdigkeit ausstrahlt.

unsere Vision von den neuen spielregeln beruht auf zwei faktoren: erstens dem aufbau eines „trusted stack“, der jeweils gewünschte authentifi-zierung von hardware, software, menschen und daten möglich macht, und zweitens eine verbesserte Protokollierung der aktivitäten, um sie nachvoll-ziehbar zu machen. Wir müssen den menschen auch eine bessere Kontrolle über die eigene digitale identität bieten, um ihre Privatsphäre besser zu schützen. erst der trusted stack – in Kombination mit verbesserten mechanismen für den schutz der Privatsphäre – macht end-to-end-(e2e-)trust möglich und versetzt anwen der mit ihren geräten und ihrer software in die Lage, infor mierte entscheidungen zu treffen und diese sicher umzusetzen. das erhöht nicht nur sicherheit und Vertrauen, sondern erleichtert es, Kriminelle im falle von elektronischen straftaten zur rechenschaft zu ziehen. Wir haben also die möglichkeit, ein vertrauenswürdiges internet zu schaffen, das den schutz der Privatsphäre verstärkt berücksichtigt.

2 „anonymität“ und „identität“ sind keine absoluten Begriffe: tatsächlich sind die modi „anonym“ und „identifiziert“, wie man sie heute benutzt, funktionell, aber keinesfalls absolut. ein wirklich anonymer Zustand lässt sich nur schwer erreichen, weil man – jedenfalls the-oretisch – bestimmte aktionen mit bestimmten computern in Verbindung bringen kann, sofern sich ausreichend viele Beteiligte eini-gen. analog dazu lässt sich ein echter identifizierter Zustand genauso schwer erreichen, weil ausweise gemeinsam genutzt, gestohlen oder auf sonstige art gefälscht werden können, so dass nur schwer zu erkennen ist, wer in Wirklichkeit hinter den onlineaktivitäten steckt.

dazwischen liegt eine große Bandbreite von Zuständen wie die „funktionelle anonymität“, die „funktionelle identität“ und verschie-dene Zwischenzustände. darüber hinaus verkörpert die anonymität einen wichtigen sozialen Wert, den es durch technologie und soziale richtlinien so zu schützen gilt, dass die menschen in den richtigen situationen wählen können, ob sie anonym bleiben oder identifiziert werden wollen..

Page 6: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

6 End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

2 | die microsoft- sicherheitsstrategie

im Januar 2002 hat Bill gates die trustworthy computing initiative (twc) von microsoft öffentlich vorgestellt. diese im sommer 2001 entwickelte initiative konzentriert sich auf das etablieren von Vertrauen im it-eco-system. am Beispiel des erfolgs vom telefon wurde deutlich gemacht, dass die menschen bestimmte Kerneigenschaften von einer technologie erwarten sollte diese zu einem vollständig akzeptierten Bestandteil ihres Lebens werden – etwa Zuverlässigkeit, sicherheit und garantien für die Privatsphäre. obwohl twc, wie die initiative später genannt wurde, sich auf eben diese attri bute konzentrieren wollte, brachten die meisten sie ursprünglich und in erster Linie mit sicherheit in Verbindung. das erklärt sich vor allem, da die an kün digung von twc nach dem 11. september 2001 geschah. die ereignisse an diesem tag führten zu einem Paradigmenwechsel in der computersicherheit, da sie ganz neue ängste in Bezug auf den schutz kritischer infrastrukturele-mente schürten.

die angriffe der terroristen am 11. september 2001, aufgrund derer die us-Börse fünf tage ausgesetzt wurde, hat die aufmerksamkeit von regierung und industrie auf die it-infrastruktur neu fokussiert. Kurz danach fielen microsoft-Pro-dukte den Würmern nimda und code red zum opfer, so dass microsoft eine beträchtliche energie und viele ressourcen in die Verbesserung der sicherheit der eigenen Produkte investierte. in einem unternehmen, das obligatorische regeln lieber vermeidet, weil sie sich negativ auf die innovationskraft auswirken und zusätzlichen

aufwand bedeuten, wurde der security develop-ment Lifecycle (kurz: sdL, sicherheitsentwicklungs-Lebenszyklus) für obligatorisch erklärt3 : für Produkte, die eine letzte sicherheitsrevision nicht bestanden, wurde bis zur ausführlichen untersu-chung und Lösung der Probleme ein ausliefe-rungsstopp verhängt4 . dank dieser Bemühungen hat sich die sicherheit der microsoft-Produkte (die anzahl der identifizierten schwachstellen sinkt seit der einführung von sdL ständig) und der ruf von microsoft in Bezug auf sicherheit stark verbessert, obwohl sicherheit weiter hin ein wesentliches thema für die Kunden bleibt.

trotz dieser fortschritte äußerten sich Kritiker dahin gehend, dass microsoft eine allumfassende „sicherheitsstrategie“ fehle. tatsächlich wurde aber eine strategie ausgearbeitet und implementiert, die sich im Laufe der Zeit weiterentwickelt hat. sie begann mit sd3, der microsoft-internen abkür-zung von für „sicherheit durch design, sicherheit als standard und sicherheit im einsatz“. einfacher ausgedrückt: Wenn das design und die entwick-lung der software sicherer wäre und das Produkt in einem sichereren Zustand ausgeliefert würde, indem man beispielsweise die angriffsfläche durch standardmäßiges deaktivieren von features reduziert und Benutzer als „standardbenutzer“ statt als „systemadministrator“ arbeiten lässt) und nach der Veröffentlichung sicherheitsbewusst gepflegt würde (etwa durch einen Patch-Prozess, der sowohl zeitnahe updates als auch die für die schnelle umsetzung notwendigen tools umfasst), wäre die it-umgebung insgesamt sicherer. tatsächlich gilt diese strategie weiterhin als grundlage und sd3 bleibt bis heute wichtig.

3 sdL – der sicherheitsentwicklungs-Lebenszyklus ist ein Prozess zum entwickeln von software, der die sicherheitsmeilensteine während des gesamten Produktlebenszyklus umfasst (beispielsweise die entwicklung von Bedrohungsmodellen und die nutzung von tools zur codeuntersuchung). sdL ist obligatorisch für software, die eine Verbindung zum internet aufbaut, in unternehmen eingesetzt wird oder zum speichern oder Übertragen von persönlichen informationen genutzt werden kann. Weitere einzelheiten finden sie bei howard und Lipner, “the security development Lifecycle,” microsoft Press®, 2006.

4 Bei der abschließenden sicherheitsrevision (final security review) stellt eine unabhängige gruppe von sicherheitsexperten (die nicht zum Produktteam gehören) die einhaltung von sdL fest. die von ihnen zu beantwortende frage lautet: „ist das Produkt aus der Pers-pektive der sicherheit für die auslieferung bereit?“ in der Praxis und als Ziel bedeutet das, Produkte auszuliefern, die keine kritischen oder wesentlichen schwachstellen aufweisen.

5 ein teil des Problems besteht darin, dass die microsoft-sicherheitsstrategie oft in Verbindung mit neuen Produkten diskutiert wird. obwohl Produkte elemente einer sicherheitsstrategie implementieren können, sind sie keinesfalls mit einer strategie gleichzusetzen – insbeson-dere weil Produkte als antwort auf die marktanforderungen zu verstehen sind und der markt in der Vergangenheit funktionalität oft den Vorzug vor sicherheit gegeben hat.

Page 7: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

7End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

das Problem mit sd3 liegt in den inhärenten grenzen. auch wenn Produkte für „sicherheit durch design“ konzipiert werden und kontinuier-lich weniger schwach stellen besitzen, kann man nicht bestreiten, dass sich die Zahl der schwach-stellen in großen und komplexen Produkten (und davon werden in der regel einige auf einem einzigen system installiert sein) in vorhersehbarer Zukunft nicht auf null reduzieren lässt. „sicherheit als standard“ enthält eine inhärente schwäche, da sich die angriffsfläche lediglich eingrenzen, jedoch nicht gänzlich eliminieren lässt. außerdem existieren features gerade deshalb, weil viele Benutzer sie aktivieren möchten. analog dazu verlangen viele ältere anwendungen eine anmel-dung des Benutzers als admin, wobei sie die vorgesehenen sicherheitsvorteile beim nutzen eines standardbenutzerkontos aushebeln. und trotz „sicherheit durch einsatz“ werden Patchs durch reverse-engineering ausgekundschaftet, und neue angriffe entstehen schneller als der durchschnittliche user einen Patch testen und einspielen kann. außerdem steigen die Zero-day-exploits, die keine möglichkeit zum einspielen eines Patchs zulassen. nicht zuletzt befasst sich sd3 in erster Linie mit der Produkt sicherheit, und obwohl einige elemente von sd3 – vor allem sicherheit durch entwicklung – die hand habung der sicherheit ansprechen, wurde sd3 dafür nicht konzipiert und kann mehrere, komplexe soft-wareprodukte in heterogenen umgebungen nicht verwalten. das gilt insbesondere, wenn es um den kompletten Lebenszyklus von der installation, über operationen, Pflege, bis hin zu updates und Vernichtung geht.

da diese einschränkungen bekannt sind, wurde sd3 um defense-in-depth (multiple Verteidi-gungslinien) ergänzt. defense-in-depth erkennt, dass einige sicherheitsbemühungen versagen werden, während andere eine weitere schutz-

schicht bieten könnten. obwohl microsoft (1) die Zahl der schwachstellen im code reduziert, (2) bestimmte features standardmäßig deaktiviert, (3) die firewall standardmäßig mit service Pack 2 für Windows® XP und Windows Vista® aktiviert, (4) die Benutzer anweist, antivirenprodukte einzusetzen (und solche Produkte später auch bereitgestellt) und (5) Benutzer auf die gefahren beim ausführen von code unbekannter herkunft aufmerksam gemacht hat, ist es nach wie vor tatsache, dass anwender auf bösartige anhänge klicken, die sie aus unbekannten Quellen empfangen. daher bietet microsoft auch ein tool zum entfernen bösartiger software, das malicious software removal tool (msrt), um infizierte maschinen wieder zu bereinigen.

trotz all dieser maßnahmen existieren jedoch weitere spezifische Bedrohungen, die weder sd3 noch defense-in-depth ausreichend abdecken. Beispielsweise greift spam in der regel keine schwachstellen an und genauso wenig würde man e-mails standardmäßig deaktivieren. daher gibt es sehr wenig, was der Benutzer oder ein unterneh-men tun kann, um einen verteilten denial-of-ser-vice-angriff aus einem Botnet abzuwenden. deshalb hat microsoft begonnen, die auswirkung bestimmter Bedrohungen zu mildern. dazu gehören breit an ge legte Verbraucheraufklärungs-kampagnen und technologische Lösungen wie beispielsweise Phishing-filter und senderid, um Phishing und spam einzudämmen. in den Berei-chen Phishing und Botnets arbeitet microsoft intensiver mit der staatsanwaltschaft zusammen, um Phisher und Botnet-Betreiber zu identifizieren und dadurch abschreckungsmaßnahmen gegen diese aktivität zu entwickeln. die abschreckende Wirkung dieser maßnahmen wirkt allerdings nur begrenzt, da man die Übeltäter zum einen nur schwer aufspüren kann und die verhängten strafen zum anderen keine ausreichenden signale setzen.

Page 8: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

8 End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

3 | die entWicKLung der sicherheits-strategie: die entstehung Von trusted stacK und die VerWirK-Lichung Von end-to-end-trust

trotz sd3, defense-in-depth und dem reduzieren der auswirkungen bestimmter gefahren bleiben sicherheit und schutz der Privatsphäre die größten sorgen von computerbenutzern. Weil die allge-meinheit verstärkt die teilnahme an persönlichen und geschäftlichen online-aktivitäten sucht, ist es umso wichtiger, die steigende anforderung nach gerade diesen beiden Punkten zu berücksichtigen. Bei den momentan eingesetzten sicherheitsmaß-nahmen handelt es sich in erster Linie um defensive techniken, die zwar wirksam sind, indem sie be-stimmte angriffsmethoden unterbinden, aber nichts gegen wandlungsfähige und kreative Kriminelle ausrichten können, die schnell ihre taktik ändern. so hat die absicherung des Betriebssystems lediglich dazu geführt, dass hacker die anwendungen weiter oben im stack angreifen oder raffinierte social-engi-neering-techniken einsetzen, gegen die die heutige technologie schutzlos ist.

nichtsdestotrotz hatten und haben diese ersten sicherheitsstrategien ihre Berechtigung. sie waren wegweisend und wirksam bei der Bekämpfung einiger ernst zu nehmender gefahren, und man muss sie mit aller macht vorantreiben. ob man dazu bessere, statische code-analyse-tools braucht oder grundlegendere änderungen wie der einsatz von Virtualisierungstechniken notwendig sind, um bestim mte aktivitäten (wie das durchsuchen von Websites oder das herunterladen von code unbekannter herkunft) durch eine sandbox-Lösung zu schützen, die it-Branche muss diese grundlegen-den technologien weiterhin beherrschen. dennoch wird es nicht reichen, den aktuellen Kurs einfach beizubehalten. die wahre schwierigkeit besteht darin, dass die aktuelle strategie nicht gerüstet ist, um das allerkritischste Problem anzugehen, nämlich ein global verbundenes, anonymes, nicht nachvoll-ziehbares internet mit attraktiven Zielen für angriffe. gerade weil diese kriminellen angriffe sich nicht nachvollziehen lassen, steigen sie permanent. außerdem liefert das internet keine informationen,

um legitimen computerbenutzern zu zeigen, mit wem sie es zu tun haben, welche Programme sie ausführen, mit welchen geräten sie verbunden oder welche Pakete vertrauenswürdig sind. daher bedeutet einer der wertvollsten ratschläge in der physikalischen Welt – caveat emptor („lass den Käufer aufpassen“) – in diesem fall keine hilfe.

festzustellen, wem oder was man vertraut, ist im internet selbstredend eine sehr komplizierte sache. eine einzige, das Vertrauen betreffende entschei-dung erfordert unter umständen vom Benutzer, dass er gleichzeitig entscheidet, ob er dem gerät, der Person, der software und den daten vertraut, die an einer transaktion beteiligt sind6. sofern er diese entscheidung auf das attribut einer Komponente gründet – etwa die identität einer Person oder eines geräts –, bleibt ein hohes restrisiko, weil das internet falsche identitäten problemlos ermöglicht.

auch wenn wir annehmen, dass die identität oder die beanspruchte identität wahrheitsgetreu wieder-gegeben wird, kann es schwierig sein, eine korrekte entscheidung in Bezug auf die Vertraulichkeit einer Person oder eines objekts zu treffen. erstens ist Vertrauen kein binärer Zustand; manchen dingen kann man komplett vertrauen, überhaupt nicht vertrauen, oder nur für einen begrenzten Zweck vertrauen.

Zweitens können Vertrauensentscheidungen statisch oder dynamisch ausfallen. in der physikalischen Welt halten wir eine Vertrauensbeziehung, nachdem sie einmal aufgebaut wurde, so lange aufrecht, bis unser Vertrauen durch ein ereignis erschüttert wird. das gilt in Bezug auf unser Vertrauen in menschen oder in fähigkeiten von maschinen wie beispiels-weise autos oder Kaffeemaschinen. im gegensatz dazu kann das Vertrauen im internet sehr dynamisch sein: Vielleicht ist mein computer eine minute lang auf dem aktuellen Patch-stand, wohingegen eine minute später ein update fehlt. dann bleibt der rechner selbst nach einem schnellen update für einen Zero-day-angriff anfällig. in einer solchen umgebung ist es unter umständen schwierig zu entscheiden, ob man einer maschine vertrauen sollte, die Zugriff auf andere netzwerkressourcen erhält.

6 die große Bandbreite an Zero-day-angriffen unterstreicht die Wichtigkeit vertrauenswürdiger dateianhänge. allerdings ist es wichtig, zu betonen, dass es dabei um die Quelle und die integrität des absenders geht (also mit anderen Worten darum, wer etwas signiert hat und ob es seit der signatur verändert wurde). im sicherheitskontext umfasst „Vertrauen“ per definition nicht die datenqualität (etwa ob eine bestimmte Zahl in einer tabelle richtig ist).

Page 9: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

9End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

7 es handelt sich hier keinesfalls um einen aufruf zu einem cyberangriff, weil die Wirksamkeit von Vergeltungsaktionen umstritten ist.

drittens können Vertrauensentscheidungen durch sorgen über die auswirkung einer falschen entschei-dung beeinflusst werden, beispielsweise durch die Überlegung, ob ein Programm in einer sandbox läuft oder sich eine transaktion rückgängig machen lässt, falls sie sich als fehlerhaft erweist.

Viertens erschweren die undurchdringlichkeit des internets und dessen Komponenten mitunter zuverlässige Vertrauensentscheidungen. in der physikalischen Welt erhalten wir visuelle anzeichen von anderen, die wir instinktiv erkennen und einschätzen – ein freundliches Lächeln zum Beispiel. diese Konzepte aus der physikalischen Welt lassen sich nur schwer bei elektronischen transaktionen anwenden. manche physikalischen hinweise ste hen einfach nicht zur Verfügung und die elektronischen äquivalente für diese hinweise (authentifizierungs-verfahren und signaturen) sind unvoll ständig, schwer zu handhaben, zu verstehen und umzusetzen. mangels informationen ziehen die Benutzer oft unangebrachte faktoren in Betracht. so beruhigt es anwender unter umständen, dass auch viele andere nutzer eine bestimmte software heruntergeladen haben. allerdings sagt das mehr über die Beliebtheit als über die sicherheit der software aus. stellt sich heraus, dass sie nicht vertrauenswürdig und in Wirklichkeit ein Keystroke-Logger ist, der persönli-che informationen stiehlt, bleibt dem anwender eventuell nichts anderes übrig, als die fragliche software nach dem auftreten eines schadens wieder zu entfernen. das zeigt, dass die etablierung eines internets, das mehr Vertrauen verdient, sehr stark von der realisierung stark verbesserter „Benutzer-Vertrauenserlebnisse“ abhängt, die in einer verständ-lichen form die Wichtigkeit von signaturen, identitäten und Zugriffsentscheidungen vermitteln.

die Komplexität des themas „Vertrauen“ ändert nichts an der tatsache, dass bestimmte grundlagen existieren müssen, um eine vertrauenswürdigere umgebung zu etablieren. das wichtigste element ist eine authentifizierte, beanspruchte identität (name, alter oder mitbürgerschaft). ohne die fähigkeit, einen menschen (oder eine persönliche eigenschaft),

einen computer, eine software beziehungsweise die daten zu authentifizieren und diese dann mit anderen Vertrauensinformationen (wie bisherigen erfahrungen oder der reputation) zu kombinieren, können keine effektiven Vertrauensentscheidungen getroffen werden. und ohne die fähigkeit, die Quelle des missbrauchs zu identifizieren und nachzuweisen, kann es keine wirksamen abschre-ckungsmaßnahmen geben, keine effektive antwort des gesetzes auf cyberverbrechen und keine sinnvolle antwort der Politik auf internationale fragen des cybermissbrauchs. Bisher bestand die „antwort“ auf jegliche art von computermissbrauch lediglich im Verstärken der Verteidigungsmaßnahmen. allerdings zeigt uns die geschichte der computersicherheit, dass auch im cyberspace angriff die beste Verteidigung ist, weil den angreifern übermäßig viel Zeit und ressourcen zur Verfügung stehen. Letztlich müssen sie nur eine einzige schwachstelle entdecken, wohingegen der Verteidiger ganz verschiedene angriffsvektoren7 abdecken muss. die erfahrung lehrt uns, dass die meisten machenschaften der cyberkriminellen aufgrund der mangelhaften authentifizierung von Personen, maschinen, software und daten gelingen. diese tatsache – zu-sammen mit der fehlenden revisionsfähigkeit und dem unvermögen, die angriffe nachzuvollziehen – führt dazu, dass Kriminelle weder abgeschreckt noch nach der tat zur rechenschaft gezogen werden können. Verbesserte authentifizierung ermöglicht also ein wesentlich vertrauenswürdigeres internet und einen Weg zur nachverfolgung.

Wir müssen eine umgebung schaffen, in der vernünf-tige und wirksame Vertrauensentscheidungen getroffen und die angriffe nachverfolgt werden können und die daher eine abschreckende Wirkung erreicht. Über einen trusted stack erreichen wir: (1) eine in der hardware verwurzelte sicherheit, (2) ein vertrauenswürdiges Betriebssystem, (3) vertrauens-würdige anwendungen, (4) vertrauenswürdige menschen und (5) vertrauenswürdige daten. der gesamte stack muss vertrauenswürdig sein, da diese schichten voneinander abhängen können und ein Versagen auf einer ebene die sicherheit beeinflussen

Page 10: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

10 End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

kann, die die anderen schichten bieten. Wenn beispielsweise eine identifizierte Person ein dokument erstellt und dabei sichere hardware und ein sicheres Betriebssystem einsetzt und es dann als signierten anhang an eine weitere Person verschickt, ist es unter umständen nicht vertrauenswürdig – wenn es mit einer unsicheren anwendung erstellt wurde. Weiterhin muss es möglich sein, die Partei zu iden-tifizieren, der man fälschlicherweise vertraut hat. außerdem sollten passende soziale und politische mechanismen existieren, um proaktive oder reaktive schritte zu unternehmen. eine entsprechende revi sionsfähigkeit kann die Beweise liefern, die anschließend eine reaktion und einen rahmen zur nachverfolgung ermöglichen.

4 | erste gedanKen Zum thema identität

aus erfahrung wissen wir, dass die bloße erwähnung des Begriffs „identität“ zu großen missverständnis-sen führen kann. Bevor wir zu den Vorteilen einer infrastruktur mit verbesserter authentifizierung und revisionsfähigkeit kommen, sind daher einige einführende Bemerkungen zum thema identität angebracht.

erstens zielt dieses Papier keinesfalls darauf ab, die anonymität im internet abzuschaffen. im gegenteil, die anonymität sollte erhalten und sowohl durch technologie als auch durch sozialpolitik entwickelt werden. Was noch wichtiger ist: in den richtigen situationen sollte man wählen können, ob man anonym bleiben oder identifiziert werden möchte (und ob teilweise oder komplett) und zu welchem Zweck. es ist wichtig, dass die Benutzer die Wahl haben.

Zweitens möchte dieses Papier auch keine einzigar-tigen, nationalen Kennungen schaffen, obwohl manche Länder gerade identifizierungssysteme schaffen, die genau das tun. in der tat besitzen men-schen oft viele ausweise, für die arbeit, Personalaus-weise, Pseudonyme und temporäre oder anonyme „ausweise“. sie sollten in der Lage sein, selbst zu wählen, welche identität sie in einer gegebenen situation nutzen möchten. noch wichtiger ist es, die fähigkeit zu haben, beanspruchte identitäten zu übermitteln. Wer beispielsweise Websites mit jugend-gefährdenden inhalten besuchen möchte, sollte das alter nachweisen können, ohne zwangsläufig weitere informationen zur identität übermitteln zu

müssen. analog dazu sollte es möglich sein, wenn man eine Ware online kaufen möchte, die transakti-on über services zu bezahlen, die nicht auf der Übermittlung einer Kreditkartennummer bestehen. der fokus auf den erhalt der Privatsphäre wird unter umständen neue geschäftsmodelle rund um das thema Vertraulichkeit hervorrufen. das könnte etwa gezielte, anonyme Werbung sein, weil es möglich ist, etwas über jemanden zu wissen, ohne seine identität zu kennen. insgesamt sollten wir in der Lage sein, mehr soziale und kommerzielle möglich-keiten zu bieten, die noch sicherer sind, ohne die Vertraulichkeit durch eine Vielzahl von identitäten zu beeinträchtigen und die von uns ausgetauschten persönlichen daten einzuschränken, was es schwie-riger macht, daten zu sammeln und analysen zu erstellen.

drittens heißt dieses Papier das aufkommen von mega-datenbanken mit persönlichen informationen keinesfalls gut. neben der forderung, eine Wahl über die benutzte oder beanspruchte identität zu haben, sollte die revision wie bisher verteilt bleiben. darüber hinaus sollten audit-informationen besser geschützt werden als heute üblich.

Viertens bestreitet dieses Papier nicht, dass eine authentifizierte, revisionsfähige umgebung sich auf die Vertraulichkeit auswirkt. Vertraulichkeit ist kein Zustand, sondern ein Kontinuum. auf der einen seite gibt es vielleicht anonyme menschen und keine Überwachung, auf der anderen seite aber situationen, in denen authentifizierte menschen in einer überwachten umgebung auftreten (beispiels-weise fluggäste). die Verbraucher beteiligen sich bereits an vielen, nicht anonymen aktivitäten – bei-spielsweise beim einkaufen mit Kreditkarte und beim onlinebanking und manchmal sogar durch das Veröffentlichen von echten Profilen in sozialen netzwerken. da echte Kontrollen fehlen, führt uns das hinzufügen von einer robusten identität in jeder situation, in der sie bisher nicht existierte, noch weiter ins Kontinuum. in einer Welt mit neuen und wesentlichen risiken für sicherheit und Vertraulich-keit müssen wir jedoch den menschen und den regierungen eine größere auswahl an techniken für den umgang mit diesen risiken an die hand geben.

fünftens kann jedes system missbraucht werden, und wenn das risiko eines schwerwiegenden missbrauchs groß genug ist, werden wir diesen ansatz vielleicht meiden. aber das argument, dass ein authentifiziertes eco-system zwangsläufig von einem missbrauch in dieser größenordnung

Page 11: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

11End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

betroffen sein wird, ist übertrieben. Wie weiter unten ausgeführt, sprechen bestimmte historische, ökonomische, soziale und politische Kräfte dafür, dass ein gut konstruiertes regime sinnvoller ist als gar keins. das gilt besonders in anbetracht der herausforderungen, denen wir im internet gegen-überstehen, und des allgemeinen Wunsches nach mehr sicherheit im täglichen Leben.

Letztlich ist keine universale akzeptanz und umset-zung erforderlich, um erste erfolge zu verbuchen. das Problem heute besteht darin, dass diejenigen, die sich mehr sicherheit wünschen, über wenige effektive möglichkeiten verfügen, um sie zu errei-chen. das Ziel heißt, ausreichende, sinnvolle daten bereitzustellen, um die menschen in die Lage zu versetzen, Vertrauensentscheidungen auch dann zu treffen, wenn diese daten nicht in allen umständen zur Verfügung stehen. trifft letzteres zu, sollten die nutzer in der Lage sein, entweder abzubrechen oder das erhöhte risiko bewusst in Kauf zu nehmen.

5 | die VorteiLe Von trusted stacK

Welche Vorteile entstehen durch effektiver authen-tifizierte menschen, computer, software und daten und der Überprüfbarkeit der damit verbunden aktivitäten? allgemein liegt der offensichtlichste Vorteil der authentifizierung darin, dass sie bessere Vertrauensentscheidungen ermöglicht. die revision macht es einfacher, andere für ihr fehlverhalten zur rechenschaft zu ziehen und so von diesem Verhal-ten abzuschrecken – davon ausgehend, dass die nationalen gesetze gegen cyberkriminalität sowie die mechanismen für die internationale Kooperation ausreichen. die möglichkeit zu besseren Vertrauens-entscheidungen und mehr nachverfolgung kann spezifische Probleme in der echten Welt lösen. Zum Beispiel dient eine sauber authentifizierte transakti-on zwischen zwei authentifizierte Parteien dem schutz beider seiten während der transaktion. eine Bank könnte die identität eines Kunden leichter authentifizieren; ein Kunde könnte sich eher darauf verlassen, dass die Website, die er besucht, tatsäch-lich der Bank gehört. Beide Parteien können feststellen, was in Wirklichkeit passiert ist, sollte ein Problem entstehen. indem man die authentifizierung zwischen geräten einrichtet, können organisationen die anzahl der externen hacker eingrenzen, die auf die systeme zugreifen. in erster Linie, weil ein hacker den Zugriff auf eine „autorisierte“ maschine bräuch-te, um auf das netzwerk des opfers zuzugreifen.

Wenn die verbesserten revisionsprotokolle im falle eines nicht autorisierten Zugriffs nachweise über das geschehen liefern, erleichtert das außerdem die Bekämpfung von cyberkriminalität. da diese mecha-nismen effektivere Vertrauensentscheidungen im gesamten eco-system ermöglichen sprechen wir hier von durchgängigem Vertrauen, von end-to-end-trust.

eine verbesserte authentifizierung und revisionsfä-higkeit würde eine menge anderer möglichkeiten generieren, vor allem wenn robuste management-tools systemadministratoren in die Lage versetzen, die menge (oder art) der gesammelten revisionsda-ten entsprechend der Bedrohung zu erhöhen. das bringt die notwendigkeit von Beweisen in einklang mit den Kosten der datensammlung und -speiche-rung. es wäre leichter, flooding- und Probing-an-griffe und deren Quellen zuverlässig zu erkennen. außerdem wäre eine autonome Verteidigung möglich, wenn vermutlich bösartig Pakete (weil sie zuverlässig als aus einer gefährlichen Quelle stam-mend erkannt wurden) beispielsweise kurz nach dem eintritt ins netzwerk oder an der schnittstelle zwischen dem computer und dem netzwerk ver worfen werden. sogar die beharrliche gefahr eines insiderangriffs könnte wirksamer bekämpft werden, weil bessere revisions-tools die rechtzeitige identifi-zierung verdächtiger Zugriffsmuster im mitarbeiter-verhalten ermöglichen.

die authentifizierung von identität, gerät (und dessen Zustand), software und daten könnte genutzt werden, um metriken für das Vertrauen einzuführen, die außerdem das risiko für das eco-system reduzieren. das belegt die tatsache, dass große unternehmen relativ gut mit dem risiko umgehen, weil sie über dedizierte it-mitarbeiter verfügen, die risikomanagement-Programme implementieren. es gibt jedoch keinen informati-onsleiter für die allgemeinheit und keinen mecha-nismus für den schutz des internets, indem wir Best Practices wie beispielsweise network access Protection (netzwerkzugriffsschutz) von unterneh-men übernehmen und diese auf die allgemeinheit anwenden. mit einer verbesserten authentifizierung und auditierung ließen sich dynamische Vertrauens-entscheidungen treffen. internet service Pro vider könnten Kontrollen für den netzwerkzugriff anwenden, um die aktivitäten „nicht vertrauenswür-diger“ computer bis zu ihrer aktualisierung einzugrenzen.

Page 12: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

12 End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

8 es stimmt, dass das internet in dieser Beziehung einige einmalige herausforderung darstellt. denn trotz eventueller sicherheitslücken von häusern gibt es proaktive abschreckungsmaßnahmen wie alarmanlagen und reaktive abschreckungsmaßnahmen wie Verhaftungen und strafverfahren.

6 | VernÜnftige sicherheitsZieLe setZen

alle sicherheitsstrategien, egal ob sie dafür konzipiert sind, die physikalische oder die informationssicherheit zu erhöhen, müssen auf gesunden Prinzipien des risikomanagements basieren. es geht um das risikomanagement und nicht um die eliminierung des risikos. die sicherheit unserer häuser und autos (die häufig darin besteht, fenster und türen abzu-schließen und selten die installation von alarmsyste-men einschließt) lässt sich leicht umgehen. entscheidend ist, ob das angebotene sicherheitsni-veau unter den gegebenen Zuständen akzeptabel8 ist. darüber hinaus muss jede sicherheitsstrategie eine strategie für das eco-system und eine dazu passende Produkt- beziehungsweise servicestrategie beinhalten. alarmsysteme in häusern und autos nützen nichts ohne nachbarn, die darauf reagieren.

Wenn sie sich einige der weiter unten aufgeführten ideen ansehen, werden sie schnell erkennen, wie sich bestimmte elemente der sicherheitsstrategie aushebeln lassen. Zum Beispiel ist die persönliche Überprüfung als Voraussetzung für die herausgabe bestimmter digitaler ausweise eine wesentliche Komponente der strategie. dabei könnte es sich um die identitätsprüfung von schülern und studenten durch die schulen handeln, die anschließend digitale ausweise ausstellen. mit diesen dürfen die Jugendlichen gehostete, elektronische spielplätze besuchen, auf denen alle mitglieder nachweislich im selben alter sind. natürlich stimmt es, dass ein mitarbeiter der schule sich unter umständen ein Zertifikat beschaffen und als Lurker die Website besuchen kann. allerdings kann dieser mitarbeiter genauso gut als Lurker auf dem schulhof auftauchen und möglicherweise ein Kind verletzen. genauso wenig wie wir sicherheitsprobleme in der physikali-schen Welt auslöschen können (obwohl wir das risiko durch die Prüfung der Personalien reduzieren), können wir das Problem in der cyberwelt lösen. Wichtiger ist, dass der elektronische spielplatz nicht mehr der gesamten Welt offen steht beziehungswei-se jedem, der sich durch selbstzertifizierung als Kind ausgibt. Wenn das risiko einer Verhaftung eine echte abschreckung bedeutet, verschafft dieses regime den gesetzeshütern bessere möglichkeiten.

Beschafft sich ein erwachsener tatsächlich das geschützte (also das nicht für die gesamte Welt zugängliche) Zertifikat eines Kindes, reduzieren sich die möglichen Verdächtigen von „jedem auf der ganzen Welt“ auf „jeden, der den Überprüfungspro-zess korrumpieren beziehungsweise auf die identität einer der Jugendlichen zugreifen konnte“. obwohl auch diese Liste noch immer lang sein mag (sie umfasst jeden, der auf das missbrauchte Zertifikat zugreifen konnte), können die gesetzeshüter den fall viel leichter lösen. Vor allem, wenn sich die künftige Kommunikation von einem Verdächtigen oder zu einem opfer nachverfolgen lässt oder die staatsgewalt prompt reagiert und die daten im rahmen der bestehenden gesetze sichert (etwa, indem sie die einträge für die iP-adresse schnell einfriert, von der der erwachsene eine Verbindung mit dem elektronischen spielplatz aufgebaut hat).

diese Bemühungen wollen keine „sichere Welt“ schaffen. stattdessen und in dem Wissen, dass die Welt niemals vollständig sicher sein kann, sollte die cyberwelt – im Kontext ihrer nutzung – einigerma-ßen sicher und in manchen fällen sicherer als die physikalische Welt sein. anders ausgedrückt, die menschen müssen in der Lage sein, Vertrauensent-scheidungen zu treffen, die sich als richtig heraus-stellen. darüber hinaus sollte nur eine begrenzte anzahl erforderlicher Vertrauensentscheidungen existieren (computer sollten nach möglichkeit unsere Präferenzen anwenden). Wenn Benutzer oder systemadministratoren aufgefordert werden, Vertrauensentscheidungen zu treffen, sollten ihnen sinnvolle informationen und ein intuitives interface vorliegen, um die richtigen entscheidungen zu ermöglichen.

Page 13: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

13End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

7 | der Weg nach Vorn

im Wesentlichen gibt es fünf wichtige sicherheits-komponenten, die das Vertrauen fördern, ungeachtet dessen, ob es sich bei dem „zu Vertrauenden“ um eine Person, ein gerät, ein Betriebssystem, eine softwareanwendung oder eine datenmenge handelt. nachfolgend beschreiben wir lediglich die identifizie-rungen, authentifizierung, autorisierung, Zugriffs-kontrollen und revisionsprozesse oder services. Wir schreiben keine bestimmten richtlinien oder mecha-nismen vor.

1. Beanspruchte identität. für wen gibt sich die Person, das gerät oder die software aus? als ausgangspunkt gibt sich jemand für eine bestimmte Person aus (etwa maxi mustermann) oder behauptet, eine bestimmte eigenschaft zu besitzen (beispielsweise die Volljährigkeit). ein gerät erscheint unter umständen als eBay-server oder router und eine anwendung als eine bestimmte Version von microsoft office Word. dieser anspruch kann sich außerdem auf eine Quelle oder die integrität beziehen (es handelt sich um ein Paket vom router der firma X, oder diese tabelle wurde von XY erstellt und seit der Übermittlung nicht geändert). eine beanspruchte identität bedeutet natürlich nur eine seite der gleichung. in vielen Kontexten ist die reputation gleichermaßen kritisch (vor allem, weil man nur sehr schwer in absoluten Begriffen von identität sprechen kann) und dient dazu, die beanspruchte identität mit weiteren ebenen der sicherheit zu belegen. es erfordert das etablieren einer robusten reputation sowie robuster richtlinien, Prozesse und systeme, um die vielen Vertrauens-entscheidungen zu unterstützen, die Benutzer treffen müssen. anders ausgedrückt: Wenn sich eine Person für maxi muster mann ausgibt, man sie aber nie getroffen hat, bietet einem die identifizierung zu wenig informationen, um eine Vertrauensentscheidung zu rechtfertigen. daher hängen andere attribute, die zu dieser identität gehören, sehr eng mit der thematik der identität zusammen (etwa erfahrungen, Beziehungen und die reputation).

2. authentifizierung. Wir brauchen mechanismen, die das Verifizieren einer beanspruchten identität ermöglichen. in der physikalischen Welt erfolgt

die Überprüfung der identität oft über amtliche dokumente (maxi mustermann hat vielleicht einen ausweis, einen Pass oder einen führerschein), selbst dann, wenn das betreffende dokument nicht für diesen Zweck herausgegeben wurde. so kann ein Barkeeper den führerschein überprüfen, um sicherzustellen, dass ein gast alt genug ist, um alkohol zu kaufen, obwohl das dokument in Wirklich keit beweist, dass der inhaber ein fahrzeug führen darf. das erfordert außerdem menschen, deren funktion darin besteht, die identität festzustellen. natürlich gibt es analoge, elektroni-sche fälle. Wir können Zertifikate verwenden, um ein gerät zu identifizieren, oder digitale signatu-ren, um den autor einer software zu identifizieren, oder ein root-Zertifikat, um die organisation zu verifizieren, die den anspruch verifiziert.

3. autorisierungsrichtlinien. davon ausgehend, dass eine identität authentifiziert wurde, existiert eine formelle oder informelle richtlinie, die auf Basis des authentifizierten identifizierungsmerkmals eine aktivität zulässt oder unterbindet. Wichtig ist außerdem, wer diese richtlinie festlegt.

4. Zugriffssteuerungsmechanismen. im einklang mit der richtlinie kann eine Person den Zugriff auf eine ressource anfordern – beispielsweise den getränkemarkt in der physikalischen Welt oder ein e-mail-Konto in einer elektronischen Welt. der Zugriff wird auf Basis der richtlinie und nach der Verifizierung notwendiger attribute gewährt oder unterbunden. manchmal erhält jemand Zugriff auf bestimmte ressourcen ohne Berechtigung oder über die grenzen der Berechtigung hinaus, was potenziell einen rechtsverstoß bedeutet.

5. revision. alle oben genannte Punkte (bean-spruchte identität, nachweis der authentifizie-rung, richtlinien für die autorisierung, Zugriffsanforderung, entscheidung über die anforderung sowie etwaige unberechtigte Zugriffsversuche) müssen protokollierbar sein, jedoch nicht protokolliert werden. die zu sam-melnde, aufzubewahrende und zu verbreitende menge an autorisierungsdokumenten hängt von verschiedenen faktoren ab. dazu gehören das erforderliche sicherheitsniveau, die für das sammeln und speichern der revisionsdaten entstehenden Kosten sowie gesetzliche auflagen.

Page 14: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

14 End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

Bevor wir den trusted stack detaillierter beschrei-ben, ist es wichtig, zu betonen, dass dieses Konst-rukt nicht neu ist9 und in all diesen Bereichen seit einiger Zeit geforscht wird – allerdings mit unter-schiedlicher ausrichtung. Zum Beispiel konzentriert sich die computersicherheitsbranche seit 20 Jahren auf den aufbau stärkerer und komplexerer Benutzer-identifikationssysteme, was zu verbesserten, passwortbasierten systemen geführt hat: Zweifakto-rensysteme oder systeme mit mehreren faktoren, die sich auf eine reihe von tokens und Biometrik sowie auf robustere und leistungsfähigere imple-mentierungen von Kerberos stützen. Leider erfolgt die autorisierung – mangels robuster Beweise für identität oder beanspruchte identität – fälschlicher-weise für einen menschen oder ein gerät. Was dann passiert, lässt sich nicht zur wahren Quelle zurück-verfolgen. mangels management-tools kämpfen die Benutzer nach wie vor mit der Verwaltung von Zugriffssteuerungslisten. Wegen fehlender revisi-onsfähigkeit erkennt der systemadministrator außerdem nur schwer, ob ein system kompromit-tiert wurde oder ereignisse schnell und zuverlässig nachzuvollziehen sind beziehungsweise eine sinnvolle schadensbegutachtung möglich ist, obwohl die angriffsquelle nach wie vor unerkannt bleibt. Kurzum: Zu viele wesentliche elemente sind schlecht entwickelt und die einzelnen elemente mangelhaft integriert.

A. Trusted Devices (vertrauenswürdige Geräte)10

Weil jede software in einer von der hardware definierten umgebung läuft, spielt das Vertrauen in die hardware eine entscheidende rolle. heute besitzen viele computer ein trusted Platform module (tPm)11 , eine technologie, die sich auf neue formfaktoren verbreiten wird. indem wir die Basis der sicherheit in die hardware verlagern, entstehen viele vorteilhafte szenarien. einige unternehmen haben beispielsweise einen beträchtlichen aufwand

für die Bekämpfung von angriffen durch hacker betrieben, die auf ihre systeme zugegriffen und interaktive sessions aufgebaut haben. Würden sich die maschinen auf eine gegenseitige, auf tPm-schlüsseln basierende authentifizierung verlassen, bevor sie eine netzwerkverbindung zulassen, könnte man nicht autorisierte computer vielleicht vom Zugriff auf die fraglichen netzwerkressourcen ausschließen. der einsatz neuer, kryptografischer techniken realisiert das in einklang mit dem schutz persönlicher daten.

B. Trusted Operating System (vertrauenswürdi-ges Betriebssystem)es muss möglich sein, das Betriebssystem auf Basis der in der hardware gespeicherten schlüssel zu verifizieren – etwa mit „trusted Boot“, dem vertrau-enswürdigen startvorgang. so kann das gerät feststellen, dass das Betriebssystem nicht manipu-liert wurde.

um das Vertrauen in das Betriebssystem zu erhöhen, sind aber noch weitere maßnahmen erforderlich. eine robuste implementierung von sd3 bleibt unabding-bar, weil „trusted Boot“ auf sich gestellt keine garantie für ein von unbewusst eingeschleusten schwachstel-len freies Betriebssystem bietet. außerdem müssen schritte in der Betriebssystem entwicklung unternom-men werden, um das einschleusen von bösartigem code durch die mitglieder der entwickler-community zu verhindern, selbst wenn nur eine kleinere gruppe von Kunden davon profitiert.

Bei einer realisierung von end-to-end-trust kann eine robuste authentifizierung die möglichkeiten für die injektion von malware eingrenzen, indem sie den Zugriff auf codebases einschränkt. außerdem sollte die auditierung interner geschäftsabläufe die herkunft von schädlichem code feststellen und so eine robustere reaktion ermöglichen.12

9 siehe Beispiel national academy of engineering, “secure cyberspace” (“Better approaches are needed to authenticate hardware, soft-ware, and data in computer systems and to verify user identities” – „Bessere ansätze sind erforderlich, um hardware, software und daten von computersystemen zu authentifizieren und Benutzer-identitäten zu verifizieren) http://www.engineeringchallenges.org/cms/8996/9042.aspx.

10 aus dem Blickwinkel eines Puristen ist der Begriff „trusted device“ vielleicht übertrieben.

11 tPm ist ein mikro-controller, der schlüssel, Passwörter und digitale Zertifikate speichert. für weitere informationen zu tPm siehe https://www.trustedcomputinggroup.org/faq/tPmfaQ/.

12 die meisten regierungen akzeptieren die tatsache, dass kommerzielle entwicklungspraktiken, die reinheit des codes nicht garantieren können.

Page 15: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

15End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

schließlich ist es wichtig, ein manifest aller zu installierenden elemente zu besitzen, statt sich zu diesem Zweck auf mechanismen wie die codesigna-tur zu verlassen. Wenn beispielsweise microsoft ein Patch herausgibt, kann ein angreifer eine ältere Version der gepatchten .dll in die maschine ein-schleusen – beispielsweise durch eine installation von social-engineering. obwohl die ältere .dll einen signaturtest besteht, wurde die maschine bewusst auf einen veralteten stand gesetzt, um eine ältere schwachstelle wieder einzuführen. trotz einiger vorhandener scanning-Lösungen gibt es keine lückenlose methode, um zu erkennen oder die Benutzer darüber zu informieren, dass die richtigen Komponenten installiert wurden. diese tatsache kann nicht nur die sicherheit, sondern auch die Zuverlässigkeit beeinträchtigen.

C. Trusted Applications (vertrauenswürdige Anwendungen)natürlich wurden computer zum ausführen von code entwickelt und das, ohne sich um den autor oder seine absichten zu sorgen. heute existieren mehrere methoden, um menschen vor software-schwachstellen und bösartigem code zu schützen. um Benutzer vor schwachstelle zu schützen, kann code in einer sicheren sprache neu geschrieben, mit analyse-tools geprüft, mit compilern, die schwach-stellen wie Pufferüberläufe reduzieren, übersetzt und in einer sandbox ausgeführt werden. gegen bösarti-gen code schützen firewalls, antiviren- und anti-spyware-Programme.

obwohl diese ansätze den Benutzer besser schützen, lassen sich Kriminelle von Präventivmaßnahmen dieser art nicht abschrecken. um die nachverfolgung zu vereinfachen, müssen codesignaturen eingeführt werden, die die Quelle noch besser identifizieren können. Wer die Quelle kennt, kann seine bisherigen erfahrungen, die reputation und weitere faktoren in Betracht ziehen, wenn er sich für oder gegen die installation einer software entscheidet. natürlich bestehen trotzdem weiterhin risiken – und das aus einer Vielzahl an gründen. Beispielsweise verlassen sich viele exploits auf die code-injektion, um den Loader zu umgehen, der die codesignatur überprüft.

davon ausgehend, dass die Benutzer nicht signierten code routinemäßig ablehnen, wird der markt reagieren, indem er signierten code bereitstellt. selbst signierter code lässt sich immer noch in eine von drei Kategorien einreihen. Zur ersten gehört code, der von einer bekannten entität wie microsoft, oracle oder adobe signiert wurde und aufgrund

bisheriger erfahrungen, der reputation der marke oder weiterer faktoren anerkannt wird. in die zweite Kategorie fällt code, der zwar signiert, aber als malware bekannt ist, also z. B. spyware, die sich dann blockieren lässt. schließlich wird es code geben, der von dem Benutzer unbekannten entitäten signiert wurde. abhängig von den Kriterien für die Beschaf-fung einer signatur kann der signaturprozess unter umständen selbst eine abschreckung gegen den missbrauch bedeuten – genau wie die heutigen, erweiterten Validierungszertifikate, indem sie eine erweiterte Überprüfung der „Personalien“ des beantragenden unternehmens vorschreiben. Wenn es weiterhin so leicht bleibt, codesignaturen zu erhalten, ohne einen Beweis der physikalischen identität erbringen zu können, geht jegliche ab-schreckung verloren und der Benutzer kann sich nicht auf regressmöglichkeiten für etwaige durch den code entstehende schäden verlassen.

auch wenn wir von einem robusten signaturprozess ausgehen, kann es sein, dass Benutzer eine signatur als Basis für eine Vertrauensentscheidung für unzu-länglich halten. solche sorgen lassen sich leicht umgehen, indem man sich weigert, code auszufüh-ren, der nicht aus einer sehr bekannten Quelle stammt. allerdings würde dieses Verhalten einige Vorteile der softwarewirtschaft wie geringe einstiegs-hürden und kostengünstige, globale distributionska-näle ernsthaft gefährden. um das Wachstum des softwaremarkts weiter zu fördern, ist daher eine reputationsplattform erforderlich, um Benutzer mit daten über softwarehersteller zu versorgen. diese daten können aus verschiedenen Quellen stammen: experten- und forschergutachten, anderen usern und Beschwerden (beispielsweise an Verbraucherschutzor-ganisationen, unternehmen und Behörden).

schließlich müssen wir wissen, dass Benutzer gelegentlich aus vielen gründen die falsche „Vertrau-ensentscheidung“ treffen werden und dass nicht signierter code weiterhin existieren wird. das macht es dringend notwendig, sandbox-Lösungen zu entwickeln, um den durch bösartige anwendungen verursachten schaden einzudämmen. Wo immer möglich, müssen wir Benutzer in die Lage versetzen, transaktionen rückgängig zu machen, als alternative methode, um schäden zu beseitigen. analog dazu sollten die richtlinien für das reputationssystem schadensbeseitigungsprozesse enthalten, um negative entscheidungen über die reputation auf Basis ungenauer oder unvollständiger daten rückgängig zu machen oder zu ändern.

Page 16: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

16 End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

13 the new Yorker, Vol.69 (LXiX) nr. 20, 5. Juli 1993.

14 in „in the matter of BJ’s Wholesale club, inc.“ hat die ftc die firma BJ’s Wholesale club für schuldig gefunden, persönliche daten nicht ausreichend zu schützen, und stellte außerdem mangelhafte sicherheitsrichtlinien fest. damit ahndete die Behörde zum ersten mal einen Verstoß gegen sektion 5 der ftc-ordnung, ohne festzustellen, dass das unternehmen die eigenen sicherheitspraktiken falsch dargelegt hat.

D. Trusted People (vertrauenswürdige Men-schen)einer der berühmtesten internetwitze stammt aus den anfangsjahren des internets. das new Yorker magazine zeigte ein Bild mit zwei hunden vor einem computerbildschirm. die Bildunterschrift lautete „im internet weiß keiner, dass du ein hund bist.“13 im großen und ganzen stimmt das noch heute, obwohl aus Jugendschutzgründen verstärkt nach möglichkeiten gesucht wurde und wird, Jugendliche von erwachsenen zu unterscheiden – meist erfolglos.

Wie stellt man in der elektronischen Welt die identität fest? Bekanntermaßen gibt es dafür drei möglichkeiten: durch etwas, das man weiß – wie ein shared secret, also ein gemeinsames geheimnis –; etwas, das man besitzt – wie ein token oder eine smartcard – und etwas, das man ist (Biometrik). größtenteils etablierten sich elektronische identitä-ten, indem die Betroffenen informationen preisge-ben mussten, die ausschließlich den an der transaktion beteiligten Parteien bekannt sind. in diesem Zusammenhang spricht man auch von einem „shared secret“, das kann beispielsweise der mädchenname der mutter sein. diese art der registrierung bietet keinen zuverlässigen schutz mehr, da shared secrets zunehmend gespeichert werden und über onlinezugriffe erreichbar sind. Wegen immer leistungsfähigeren suchmaschinen und der Zunahme des datendiebstahls bedeuten shared secrets in Wirklichkeit überhaupt kein geheimnis mehr. ergo ist der identitätsanspruch nicht robust und der authentifizierungsmechanis-mus fehlerhaft.

Wenn das internet sicherer sein soll, muss es optional identitäten unterstützen, die sich direkt

oder indirekt auf die Überprüfung von Personalien stützen. das ermöglicht es, ausweise auszustellen, die sich nicht darauf verlassen, dass die Person, deren identität oder beanspruchte identität überprüft werden soll, ein shared secret besitzt. Bis zu einem bestimmten grad treiben Behörden und märkte selbst regimes voran, die sich auf die Überprüfung von Personalien stützen. Beispielsweise geben viele regierungen elektronische ausweise für regierungsfunktionen heraus. oder sie denken jedenfalls darüber nach. Wir betonen aber, dass eine Überprüfung von Personalien nicht nur durch die regierung oder regierungsnahe organisationen erfolgt. oft pflegen Banken Kundenbeziehungen, die mit einem Besuch in der filiale beginnen; schulen stehen in einer Beziehung zu den schülern, die routinemäßig mit einer anwesenheitspflicht verbunden ist, und arbeitgeber kennen ihre mitarbeiter und geben oft Betriebsausweise auf Basis einer Überprüfung der Personalien aus.

ein verteiltes identitätssystem, das shared secrets vermeidet und als Basis die Überprüfung der Personalien voraussetzt, erfüllt einen weiteren positiven Zweck. es liefert uns die möglichkeit, persönlich identifizierbare informationen (Pii) abzuwerten und ernsthafte Bemühungen zu unternehmen, um den identitätsdiebstahl einzu-dämmen. die Zunahme des identitätsdiebstahls hat die Verbraucher verstärkt dazu erzogen, unnötige Bekanntgaben von Pii zu vermeiden, und gleichzei-tig sicher gestellt, dass unternehmen, die Pii speichern, diese informationen schützen14. obwohl es sich dabei um wichtige schritte handelt, um den identitätsdiebstahl einzudämmen, reicht dieser ansatz nicht aus, um ihm ausreichend einhalt zu gewähren. und obwohl einige Verbraucher sicher-lich sinnvolle entscheidung hinsichtlich der Bekannt-

Page 17: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

17End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

15 neue entwicklungen deuten daraufhin, dass dateneinbrüche weiterhin stattfinden und ernst sein werden. siehe http://privacyrights.org (Zum 25. februar 2008 wurden über 218 millionen datensätze von us-einwohnern aufgrund von sicherheitsverletzungen seit Januar 2006 exponiert. die Bürger anderer nationen haben noch schlechter abgeschlossen. allein die regierung großbritanniens verliert 25 millionen informationen zu Kindergeldzulagen. siehe http://www.computerworlduk.com/management/government-law/public-sector/news/index.cfm?newsid=6298).

16 ähnliche mechanismen könnten eingesetzt werden, um den dateninhalt zu verschlüsseln und die Kommunikation so vertraulich zu halten.

17 mit der revision lässt sich natürlich auch die Leistung von Komponenten vergleichen. allerdings sprengt dieses thema den rahmen des Papiers.

gabe von Pii treffen und einige unternehmen gute sicherheitsrichtlinien implementiert haben und den datendiebstahl damit weitgehend vermeiden, wird er so lange grassieren wie eine große menge von Verbrauchern und einige hüter von daten sensible daten verlieren15.

das erklärt offensichtlich, dass der schlüssel zur Bekämpfung dieser form von Kriminalität in einer abwertung von Pii liegt. Wenn eine Überprüfung der Personalien die herausgabe von tatsächlich geheimen schlüsseln (in form von Public/Private-schlüsselpaaren) ermöglicht, die anschließend zur authentifizierung eingesetzt werden können, fehlt dem Kriminellen trotzt Kenntnis der Pii eine wesentliche information, um eine transaktion abzuschließen. also kann er beispielswiese keinen Kredit bei einer Bank beantragen. das wertet sowohl social-engineering als auch angriffe und einbrüche in datenbanken mit persönlichen informationen ab. E. Trusted Data (vertrauenswürdige Daten)Wie bereits festgestellt wurde, lässt sich anhand der datenquelle identifizieren und erkennen, ob die daten nach der signatur und ohne autorisie-rung geändert wurden. anwendungen sollten nahtlose mechanismen integrieren, die ihre ausga-ben mit einer signatur belegen. außerdem sollten sie signaturen vor dem Öffnen von dokumenten lesen, damit sich die datenquelle und -integrität leicht überprüfen lassen16. Wenn management-tools Benutzer gleichzeitig in die Lage versetzen, richtli-nien auf Basis der datenquelle und -integrität anzu wenden, hat das weniger spontane Vertrauens-entscheidungen zur folge.

so, wie es unter umständen wichtig sein kann, die datenquelle zu kennen, ist es auch wichtig, sicher-zustellen, dass unbeabsichtigte empfänger keinen Zugriff darauf bekommen. ein Vorteil dieser authenti-fizierten infrastruktur besteht darin, dass sie es dem

absender ermöglicht, den datenzugriff auf authen-tifizierte Personen zu beschränken. dies bedeutet einen wichtigen Punkt beim schutz der Privatsphäre. sehr oft werden sensible daten zu stark verbreitet oder nicht autorisierte Personen erhalten problem-los Zugriff auf diese daten. Während die firewall zunehmend an Wichtigkeit verliert, wächst die erkenntnis, dass wir uns auf den datenschutz konzentrieren müssen und nicht nur auf den schutz der maschinen, die diese daten speichern. Wer den trusted stack nutzt, um den datenfluss zu beschrän-ken, dämmt damit die Verletzung der Privatsphäre durch nicht autorisierte datenflüsse und datenzu-griffe ein.

Wenn sandboxing – wie bei den anwendungen – das Öffnen von daten in logisch eingegrenzten räumen ermöglicht, reduziert das den schaden aus einer Kombination von bösartigem content und verbleibenden schwachstellen zusätzlich.

F. Revisionunter audit-trail versteht man das Protokollieren einer reihe von ereignissen, um ihren hergang rekonstruieren zu können. ein audit-Log (revisions-protokoll) besteht aus einer reihe von daten, die über eine bestimmte Zeit für eine bestimmte Komponente gesammelt werden. eine reihe von revisionsprotokollen lässt sich analysieren, um ein muster in der systemnutzung zu erkennen, das über einen längeren Zeitraum dazu dienen kann, abweichende Verhaltensmuster wie kriminelle aktivitäten oder das Vorhandensein von malware zu bemerken17. revisionsdaten sind außerdem notwen-dig, um verdächtige oder schädliche transaktionen rückgängig zu machen. die fähigkeit revisionsda-ten zu sammeln, daraus Berichte zu generieren und die daten sicher zu speichern, gehört zu jeder Bemühung in richtung compliance. aber leider existiert momentan noch keine strategie für die revision des eco-systems, die einen schnellen

Page 18: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

18 End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

erkenntnisaustausch der revision ermöglicht, um ein gemeinsames, operatives Verständnis zwischen mehreren Parteien zu erreichen. Zum Beispiel gibt es keine standards für die richtliniensprache, und auch die sicherheitsrevisionsprotokolle sind nicht standardisiert. das erschwert den abgleich von Zahlen über computerbasierte gefahren. darüber hinaus behindert ein mangel an tools die analyse der gesammelten daten und ihre umwandlung in verwertbare informationen. Zum schluss und unabhängig von der Bedeutung, revision in managementsystemen und nachverfolgung zu garantieren, gibt es keine aktiven standardisierungs-komitees, die sich mit formaten für revisionsdaten oder -tools befassen.das soll natürlich nicht heißen, dass unternehmen und Behörden heute keine revisionsdaten sammeln. im gegenteil, einige beschweren sich, dass sie zu viele daten sammeln. Was sie wirklich brauchen, sind tools, die eine sinnvollere analyse der bereits gesammelten daten ermöglichen. es schließt sich aber nicht gegenseitig aus, einerseits die richtige menge an daten zu sammeln und gleichzeitig bessere tools zur analyse dieser daten zu schaffen. tatsächlich unterstützen sich diese Bemühungen gegenseitig.

Wie sähe das optimale revisionssystem aus? es würde mit einer standardisierten Produkt- und serviceinstrumentierung beginnen. mit anderen Worten: der code würde passend instrumentiert, um eine grundmenge an revisionsdaten zu sam-meln. Je nach richtlinien und aktuellen ereignissen könnte das management dann eine erhöhung oder Verringerung der zu sammelnden daten unterstüt-zen. Bei einem angriff würde die zu sammelnde und zu analysierende datenmenge beispielsweise steigen. genau wie heute würden die revisionsdaten verteilt durch die Personen, unternehmen, internet service Provider (isPs) oder regierungsbehörden gespei-chert, die die jeweiligen ressourcen verwalten. Jede entität entschiede für sich, inwiefern diese Proto-kolldaten verteilt oder zentral innerhalb der eigenen organisation zu speichern wären. den austausch dieser informationen zwischen organisationen könnten richtlinien oder gesetze regeln. Zum Beispiel wäre der Zugriff durch die regierung durch gesetze zum schutz der Privatsphäre geregelt, das sammeln und austauschen von informationen in der Privatwirtschaft hingegen durch bestehende

Prinzipien des fairen umgangs mit privaten informa-tionen oder datenschutzgesetze. Letztlich könnten diese revisionsdaten unternehmen und Behörden dabei helfen, einen nachweis über die erfüllung ihrer Pflichten zu erbringen. außerdem würden sie helfen, die Übeltäter im internet dingfest zu machen.

die wesentlichen herausforderungen auf dem Weg zu einem robusteren revisionssystem liegen nicht allein im technischen Bereich. es herrscht ein riesiger Bedarf an Koordination in der gesamten Branche, um allein einige der grundlegenden elemente aufzubauen. Produktteams müssen die instrumentierung koordinieren, wissen, wo im code audit-calls einzusetzen sind, und eine angebrachte Protokollierung der revisionsdaten sicherstellen, ohne aus den augen zu verlieren, dass das Ziel der revision unter umständen ganz einfach oder sehr komplex aussehen kann. ersteres wäre beispielswei-se der fall, wenn man feststellen möchte, ob eine bekannte Person versucht hat, auf eine bestimmte ressource zuzugreifen. Letzteres träfe zu bei der Prüfung, ob mehrfache netzwerk-scans aus unterschiedlichen iP-Bereichen in Wirklichkeit aus derselben Quelle stammen und als ergebnis eines einzelnen angriffs erfolgen. heute bieten manche Produkte kaum revisionsfähigkeiten und andere sammeln revisionsdaten in unterschiedlichen formaten, so dass die Korrelation schwierig bleibt. außerdem stehen nur wenige analyse-tools zur Verfügung, die revisionsdaten aus weit verteilten und sehr unterschiedlichen Produktumgebungen sammeln und korrelieren können. das macht den ruf nach internationalen standards erforderlich, um das sammeln und die analyse der revisionsdaten über heterogene systeme hinweg zu ermöglichen. daneben werden management- und analyse-tools gebraucht, um die gesammelten daten in auswert-bare informationen zu konvertieren.

in anbetracht der existierenden sicherheitsheraus-forderungen – allem voran die internationale auslegung der meisten angriffe – sollten sich die ersten arbeiten auf die untermenge an daten konzentrieren, die zur Verbesserung der nachverfol-gung in globalen netzwerken erforderlich sind. in den meisten fällen der nicht autorisierten nutzung von netzwerken wäre nur eine kleine untermenge der daten erforderlich, um die Quelle aufzuspüren.

Page 19: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

19End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

Zu ihnen gehören datum und uhrzeit der Verbin-dung, Port, das Protokoll und andere identifizierun-gen, die einen hinweis auf die angriffsquelle liefern können. obwohl einige dieser daten bereits existieren (z. B. protokollieren die systeme die Verbindungen und die iP-ursprungsadressen), werden die informationen nicht zwischen den gliedern in der Kette weitergereicht. das führt zu langatmigen, manuellen Bemühungen, um die Verbindung zur Quelle zurückzuverfolgen, und ist auch der grund für revisionskennungen oder tags. das Ziel besteht keinesfalls darin, alle datenströme zu überwachen, sondern nur die interessanten und diejenigen, für die eine bestimmte aktivität unternommen werden kann, ungeachtet dessen, ob man die ursprüngliche Quelle der Kommunikation identifizieren kann oder einem router gestatten möchte, gefährliche Pakete zu verwerfen.

selbst wenn wir davon ausgehen, dass die revisions-daten gesammelt wurden und in angebrachten fällen weitergereicht werden können, bleiben andere fragen offen. obwohl die Kosten der datenspeiche-rung ständig fallen, stellt sich die frage, ob diese daten routinemäßig gesammelt und gespeichert werden sollen oder lediglich dann, wenn ein auslö-sendes ereignis stattfindet. natürlich kostet letzteres weniger und lässt sich außerdem eher mit dem schutz der Privatsphäre vereinbaren. andererseits wäre es nach dem erkennen von ereignissen unmög-lich, ohne weiteren aufwand auszumachen, wann der angriff begonnen hat und wie erfolgreich er bis zur erkennung verlaufen ist. daher ist es wichtig, eine standardisierte code-instrumentierung und manage-ment-tools zu besitzen, die, dem risikoprofil des Benutzers entsprechend, unterschiedliche mengen an revi sionsdaten sammeln können.

8 | offensichtLiche herausforderungen

Zugegeben bestehen offensichtliche heraus-forderungen, wenn man eine authentifizierte und revisionsfähige infrastruktur vorschlägt. diese heraus forderungen sind unter umständen sozialer, politischer, wirtschaftlicher und technischer natur.

das Ziel an dieser stelle liegt nicht darin, jede herausforderung zu beschreiben, sondern nur einige der wichtigsten. Wir dürfen nicht vergessen, dass grundrechte in Bezug auf die Privatsphäre, die meinungsfreiheit und andere themen von Land zu Land und manchmal sogar innerhalb von Ländern unterschiedlich gehandhabt werden. obwohl die Kompatibilität zwischen unterschiedlichen regimen in einer zunehmend globalen gesellschaft wichtig ist und widersprüchliche gesetze es mitunter erschwe-ren, sowohl die eigenen rechte als auch das einhal-ten von auflagen zu verstehen, ist eine vollständige Übereinstimmung aus vielen gründen nicht möglich. deshalb sollte die technologie anpassungsfähige Lösungen bieten, um verschiedenen sozialen standards und regelwerken zu entsprechen.

hält man sich diesen Punkt vor augen, bleibt es unumstritten, dass die möglichkeit, menschen zu identifizieren, äußerst komplexe soziale, politische und wirtschaftliche fragen aufwirft, bei denen das Vertrauen an erster stelle steht. die Bedenken sind zweifach: (1) Wenn eine authentifizierte identität erforderlich ist, um sich an internet-aktivitäten zu beteiligen, werden die anonymität und deren Vorteile angegriffen. (2) außerdem können authenti-fizierte identifizierungsmerkmale gesammelt und analysiert werden, was die herstellung von Profilen vereinfacht.

obwohl die anonymität im internet aus einer historischen entwicklung entstanden ist, bleibt es eine tatsache, dass sie vielen sinnvollen Zwecken dient. dass jeder eine Verbindung zum internet aufbauen kann, ohne für die Kosten eines authenti-fizierungsstelle zu bezahlen, hat sicherlich zum Wachstum des internets beigetragen. da das internet ein medium ist, das die freie meinungsäu-ßerung unterstützt, dient die anonymität auch wichtigen richtlinien, die die förderung der freien meinungsäußerung betreffen – selbst wenn die anonyme art der Kommunikation mitunter schäden verursacht. es gibt sowohl praktische als auch philosophische gründe für die Beibehaltung der freien meinungsäußerung – trotz des damit verbundenen risikos.

Page 20: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

20 End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

18 eine wichtige diskussion dieser Problematik finden sie in Kim camerons „Laws of identity“ unter http://www.identityblog.com/sto-ries/2004/12/09/thelaws.html.

19 ein Beispiel dafür wäre ein gesetz, das die Vorlage einer authentifizierten identität bei der inanspruchnahme von arbeitslosengeld oder sozialhilfe oder beim ausfüllen von steuerformularen erfordert, aber ausdrücklich die anforderung einer authentifizierten identi-tät verbietet, wenn öffentliche informationen wie z. B. gesundheitsstatistiken von einer öffentlichen, durch die regierung betriebenen Website angefordert werden.

dennoch ist es übertrieben zu behaupten, dass das internet, obwohl es die freie meinungsäußerung unterstützt, lediglich ein medium der meinungsäuße-rung ist oder anderen Kommunikationsnetzwerken ähnelt. Zum Beispiel unterstützt das internet die Kommunikation in einem bisher ungeahnten ausmaß. mit ihm kann man millionen nutzer anrufen oder ihnen Briefe schicken, auch wenn das aus Kosten- und Zeitgründen nicht praktikabel erscheint.

natürlich führt die Leistungsfähigkeit des internets und die tatsache, dass es vielen unterschiedlichen Zwecken dient, dazu, dass jeder Vergleich zwischen dem internet und anderen Kommunikationstechno-logien unangebracht erscheint. Vergleiche mit traditionellen telefonnetzwerken versagen, da es im internet nicht nur – und nicht einmal in erster Linie – um die sprachkommunikation geht. Vergleiche mit dem fernsehen greifen nicht, weil es keine einschränkung der Bandbreite gibt und die be-grenzte Bandbreite den primären grund für eine regulierung der inhalte ausmacht. Vergleiche mit der ausweispflicht im öffentlichen Leben taugen ebenfalls nicht, weil die menschen bei öffentlichen aktivitäten eine höhere Behördenbeteiligung erwarten (z. B. im Zulassungswesen, bei führerschei-nen, Versicherungsanforderungen usw.) als bei aktivitäten, die teilweise privater natur sind. trotz des Begriffs datenautobahn greifen viele menschen vom privatesten aller orte aus auf das internet zu – von zuhause. dort sehen sie eine einmischung durch die regierung nur äußerst ungern. daraus resultiert, dass änderungen des identitätsmodells im internet unter umständen manchen Bürgern Kopfschmerzen bereiten.

die authentifizierung führt außerdem zu Bedenken über eindeutige Kennungen und Profile. hierzu gibt es vier wichtige Punkte: (1) Viele formen der identität werden existieren, um den Benutzern unterschiedliche ausweise in unterschiedlichen Kontexten anbieten zu können und so das risiko eines Profilings zu reduzieren. (2) die Benutzer werden weiterhin die Kontrolle über die art der informationen behalten, die sie weitergeben und wann diese weitergegeben werden18. (3) soziale

regeln unterstützen die anonymität im passenden Kontext. (4) das Prinzip der datenminimierung gilt, so dass ohne entsprechende Berechtigung keine persönlichen informationen gesammelt werden19.

ganz offensichtlich dürfte dieser ansatz denjenigen nicht gefallen, die die anonymität des internets als ultimativen schutz der Privatsphäre betrachten. das mag vor allem dort stimmen, wo die anonymität unbeliebte meinungsäußerungen fördert und schützt. tatsache ist jedoch, dass wir die Benutzer in die Lage versetzen müssen, ihr gegenüber zu erkennen (sofern sie das wünschen), wenn wir die Kriminalität reduzieren und die Privatsphäre schützen wollen. außerdem muss die staatsanwaltschaft in der Lage sein, die Übeltäter zu erkennen. Wir dürfen auch nicht vergessen, dass gerade in Bezug auf die Vertraulichkeit ganz verschiedene interessen vertreten sind. Bei e-mails beispielsweise wünscht sich vielleicht nicht nur der absender absolute Vertraulichkeit, sondern auch der empfänger. tatsächlich muss jedes regime nicht nur versuchen, denjenigen eine weiter reichende authentifizierung zu bieten, die diese anbieten oder in anspruch nehmen möchten, sondern auch die anonymität derjenigen garantieren, die sich an anonymen aktivitäten beteiligen wollen. Benutzer sollten die option haben, anonyme mitteilungen zu verschicken und e-mails ausschließlich aus bekannten Quellen zu empfangen. Wer als anwender anonyme Verbindun-gen akzeptieren möchte, sollte dies auch tun können. allerdings sollte er auch wissen, dass er damit die möglichkeit verliert, eventuelle Übeltäter zur rechenschaft zu ziehen, falls sich die anonyme Kommunikation als bösartig herausstellt. die größere „philosophische“ frage bezieht sich auf die sorge, dass die existenz einer authentifizierten infrastruktur vermutlich zwangsläufig dazu führen wird, dass weder der markt noch die sozialen Kräfte eine lebhafte, anonyme Kultur unterstützen werden. anders ausgedrückt: Was wäre, wenn bei der möglichkeit zur authentifizierung jedes soziale netzwerk, jedes e-mail-system und jede Website eine authentifizierte identität verlangt? Wie könnten dann die durch die anonymität geförderten sozialen Werte unterstützt werden?

Page 21: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

21End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

20 ein Beispiel dafür bietet die nutzung von Kreditkarten im internet. um Benutzer zu ermuntern, online einzukaufen, haben die Kredit-kartenorganisationen sich darauf geeinigt, auf die haftung der 50 us dollar zu verzichten, die die Kartenbesitzer bei einem gesetz-widrigen einsatz ihrer Karten zu tragen haben. obwohl der Verzicht auf diese haftung die user tatsächlich dazu ermuntert hat, ohne angst online einzukaufen, führte er gleichzeitig dazu, dass sich einkäufer keine gedanken mehr über die rechtmäßigkeit des händlers machen müssen, weil andere etwaige Verluste tragen.

obwohl sich diese diskussion nicht für alle zufrie-denstellend führen lässt, da man unmöglich mit absoluter Bestimmtheit vorhersagen kann, was passieren wird, lässt sich folgendermaßen argumen-tieren: (1) die menschen, die sich lange für anony-mität interessiert und diese unterstützt haben, und (2) die märkte, die anonymität auch weiterhin fördern werden, sowie (3) der gesetzliche anspruch auf anonymität werden auch weiterhin durch das gesetz geschützt werden – jedenfalls in bestimmten Kontexten. dennoch befürchten einige, dass die sozialen änderungen die anonymität in eine außenseiterrolle zwingen werden. Bei aller unwahr-scheinlichkeit, dass dies je geschehen wird, ist ein Punkt grundlegend: eine anonyme Welt kann nicht das ultimative Ziel sein. Vor allem nicht in einer Welt, die durch identitätsklau, angriffe auf die kritische infrastruktur und andere ereignisse, die eine soziale antwort verlangen, bedroht ist.

neben den sozialen Kräften gibt es auch wirtschaft-liche, die ein bestimmtes Verhalten – ob gut oder schlecht – provozieren können. diese Kräfte entste-hen oft als ergebnis von entscheidungen, die zum ankurbeln der wirtschaftlichen aktivität beziehungs-weise für den umgang mit Wettbewerbsrisiken konzipiert sind, obwohl diese entscheidungen nicht im sinne der sicherheit fallen20. als microsoft mit erweiterten Validierungszertifikaten begonnen hat, lauteten die offensichtlichsten fragen: „Warum sollen neue Vertrauenskriterien aufgebaut werden und wer soll letztlich die Verantwortung dafür tragen, dass Zertifikate lediglich an vertrauenswürdi-ge adressen ausgegeben werden?“ nach wie vor stimmt es, dass in den usa die meisten online-handel-Websites, die mit physikalischen Waren handeln, aufgrund der Versandkosten größtenteils auf dem Binnenmarkt tätig sind. und die meisten dieser unternehmen in den usa akzeptieren eine Zahlung mit Kreditkarte. Weil handelsbanken ausführliche auskünfte über unternehmen einholen, bevor sie diese dazu autorisieren, Kreditkarten zu akzeptieren, wäre es sinnvoller das erweiterte Validierungszertifikat durch die handelsbank ausstellen zu lassen. das gilt umso mehr, weil die von der Bank durchgeführten recherchen viel

weiterreichen als die durch den neuen standard vorgesehenen.

doch diese so einfache und elegante Lösung wird durch die wirtschaftliche realität zunichte gemacht. handelsbanken können keine erweiterten Validie-rungszertifikate vertreiben, weil die Verbraucher nicht ausschließlich bei Websites einkaufen, die solche Zertifikate unterstützen. außerdem gibt es keinen finanziellen anreiz für konkurrierende online-shops, geld für diesen service auszugeben. nicht zuletzt sorgen sich die handelsbanken über die haftungsfragen, die das ausstellen von „garan-tien“ aufwirft. Weil internet-transaktionen ohne die physikalische Überprüfung der Karte erfolgen, trägt der händler und nicht die Bank den Verlust im falle eines missbrauchs. Vielleicht gibt es für die Banken keinen wirtschaftlichen anreiz dafür, die identität der Kunden zu „validieren“ und das finanzielle risiko vom händler auf die Bank zu verlagern. ein ansatz von regierungsseite ist vielleicht ebenfalls unprak-tisch. obwohl das united states office of the compt-roller of the currency (das Währungsprüfungsamt der us) die Banken tatsächlich gezwungen hat, das auf Benutzernamen oder Passwortauthentifizierung basierende onlinebankingverfahren einzustellen, hielte das amt es vermutlich für unangebracht, handelsbanken dazu zu zwingen, erweiterte Validierungszertifikate an händler auszugeben.

diese diskussion macht deutlich, dass der mix aus sozialen, politischen und wirtschaftlichen fragen vielleicht in seiner gesamtheit untersucht werden müsste, wenn man über den status quo der sicher-heit im internet nachdenkt. Weiter oben gab es beispielsweise den Vorschlag, dass isPs dynamische Vertrauensentscheidungen treffen und netzwerkba-sierte Zugriffssteuerungskontrollen einsetzen könnten, um das eco-system zu schützen. es ist allerdings unklar, ob die Verbraucher – aus der sozialen Warte – die regulierungsbehörden – , aus der politischen Warte – und die Provider – aus der wirtschaftlichen Warte – das scanning als Vorausset-zung für den netzwerkzugriff akzeptieren. nicht zuletzt, weil regierungen eine kritische Position in der strafverfolgung zukommt, spielen

Page 22: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

22 End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

auch fragen der juristischen Zuständigkeit eine wichtige rolle. in diesem Bereich ist bereits viel arbeit geleistet worden, angefangen mit der bahnbrechenden arbeit des g8-gipfels zum thema computerkriminalität bis zur Konvention über cyberkriminalität im europarat. allerdings haben diese internationalen Vereinbarungen auch ihre grenzen. im gegensatz zum globalen internet ist die anzahl der teilnehmenden Länder begrenzt. natürlich bedeutet die anwendung nationaler gesetze auf ein internet, das keine nationalitäten kennt, eine herausforderung. daher fällt eine passende reaktion auf Verbrechen, die oft internati-onale ausmaße annehmen, schwer. in manchen fällen weichen Kriminelle auf mehrere Länder aus, um das sammeln von Beweisen und die identifizie-rung der Quelle zu erschweren. in anderen fällen sind die opfer weltweit verteilt, und jeder fall liegt für sich genommen unterhalb der wirtschaftlichen grenze, die eine intensive Verfolgung durch das gesetz rechtfertigen würde.

9 | Zusammenfassung

seit Jahren schon investieren unternehmen und Behörden viel arbeit und geld in die Verbesserung der sicherheit und den schutz der Privatsphäre von computer-usern. dennoch bleibt eine wesentliche frage offen: Können wir ein global verbundenes, anonymes und nicht nachvollziehbares internet aufrechterhalten und abhängig von geräten bleiben, die beliebigen code unbekannter herkunft ausfüh-

ren, obwohl unsere täglichen aktivitäten zunehmend vom internet abhängen? Wenn die antwort auf diese frage „nein“ lautet, müssen wir eine stärker authentifizierte und auditierte internetumgebung schaffen, eine umgebung, in der die menschen die informationen erhalten, die sie für gute Vertrauens-entscheidungen benötigen. es bleibt außerdem wichtig, das eigentliche Ziel im auge zu behalten, nämlich ein internet-eco-system, das mehr sicher-heit und Vertrauen bietet. neben dem anspruch, die Benutzer in die Lage zu versetzen, gute Vertrau-ensentscheidungen zu treffen, existieren auch allgemeinere Ziele: (1) häufige risiken wesentlich zu reduzieren, um das Vertrauen der Öffentlichkeit in die sicherheit des it-eco-systems wieder-herzustellen beziehungsweise zu verstärken. (2) sicherheitsexperten in die Lage zu versetzen, ihre aktuellen Bemühungen zur Bekämpfung bestehen-der Bedrohungen auf die Bekämpfung hartnäckiger risiken zu verlagern. (3) das aufkommen neuer krimineller machenschaften einzudämmen, weil die authentifizierung und revisionen Verbrechen erschweren. (4) den gesetzeshütern die mittel an die hand geben, um mehr cyberkriminelle aufzu-spüren und zur rechenschaft ziehen zu können, um eine abschreckende Wirkung im internet zu erlangen. um diese Ziele zu erreichen, müssen wir die bereits erwähnten, komplexen sozialen, politi-schen, wirtschaftlichen und technischen fragen beantworten. nur so stellen wir sicher, dass wir das internet bekommen, das wir uns wünschen: ein internet, das Verbraucher und unternehmen unterstützt und gleichzeitig die von uns geschätzten, sozialen Werte schützt.

Page 23: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

23End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

anhang a

an der entstehung dieses Papiers haben viele menschen mitgewirkt. sie haben entwürfe gelesen beziehungsweise Zusammenfassungen gehört und mit sehr nützlichen Kommentaren versehen. in manchen fällen haben einzelpersonen kumulative Kommentare eines gesamten teams eingereicht. daher ist die Liste der Beteiligten unvollständig. in anderen fällen habe ich das Konzept dieses Papiers bei Veranstaltungen vorgestellt und in den anschlie-ßenden gesprächen nützliche Bemerkungen dazu erhalten. ich möchte mich im Vorfeld dafür ent-schuldigen, dass ich nicht jeden persönlich nenne. Zuallererst möchte ich mich bei steve Lipner, ellen mcdermott und Phil reitinger bedanken, die die verschiedenen entwürfe des dokuments unermüd-lich und ohne Klagen revidiert haben. Zweitens möchte ich mich bei den vielen microsoft-mitarbeitern bedanken und auch bei den vielen menschen, die mit microsoft kooperieren. sie haben nützliche Kommentare und ideen beigetra-gen und somit eine wesentliche aufwertung dieses Papiers bewirkt. auf der Liste, die keinen anspruch auf Vollständigkeit erhebt, stehen: Pat arnold, marc Berejka, eric Bidstrup, Bill Billings, christopher

Budd, doug cavit, Kim cameron, Jerry cochran, Peter cullen, Jules cohen, chuck cosson, Jon deVaan, Pierre de Vries, sean finnegan, Jeffrey friedberg, tom gemmell, cristin goodwin, adri-enne hall, todd Kutzke, Butler Lampson, douglas Leland, Brendon Lynch, John michener, Kevin murphy, mark miller, craig mundie, Paul nicholas, rob sonderman, adam shostack, george statha-kopoulos, matt thomlinson und cyril Voison. außerdem möchte ich mich bei den chief security advisors (Leitenden sicherheitsberatern) und strategic security advisors (strategischen sicher-heitsberatern) bedanken.

nicht zuletzt gilt mein dank allen außerhalb des unternehmens, die einen wichtigen Beitrag geleistet haben, indem sie dieses Papier revidiert und mit einem kritischen feedback an mich zurückgegeben haben. dazu gehören das trustwor-thy computing academic advisory Board, dessen mitglieder unter http://www.microsoft.com/presspass/press/2008/feb08/02-26tWcaaBPr.mspx) aufgeführt sind, sowie diejenigen, die eine Konzeptpräsentation dieses Papiers erlebt haben und so freundlich waren, mir nach der Veranstal-tung feedback zu geben.

Weitere informationen können per e-mail unter [email protected] angefordert werden.

Page 24: end-to-end-trustdownload.microsoft.com › download › 2 › D › 7 › 2D7F6D06-79F...B. trusted operating-system (vertrauenswürdiges Betriebssystem) 14 c. trusted applications

24 End-to-End-Trust: Wie man durchgängiges Vertrauen schafft

3 sdL – der sicherheitsentwicklungs-Lebenszyklus ist ein Prozess zum entwickeln von software, der die sicherheitsmeilensteine während des gesamten Produktlebenszyklus umfasst (beispielsweise die entwicklung von Bedrohungsmodellen und die nutzung von tools zur codeuntersuchung). sdL ist obligatorisch für software, die eine Verbindung zum internet aufbaut, in unternehmen eingesetzt wird oder zum speichern oder Übertragen von persönlichen informationen genutzt werden kann. Weitere einzelheiten finden sie bei howard und Lipner, “the security development Lifecycle,” microsoft Press®, 2006.

4 Bei der abschließenden sicherheitsrevision (final security review) stellt eine unabhängige gruppe von sicherheitsexperten (die nicht zum Produktteam gehören) die einhaltung von sdL fest. die von ihnen zu beantwortende frage lautet: „ist das Produkt aus der Pers-pektive der sicherheit für die auslieferung bereit?“ in der Praxis und als Ziel bedeutet das, Produkte auszuliefern, die keine kritischen oder wesentlichen schwachstellen aufweisen.

5 ein teil des Problems besteht darin, dass die microsoft-sicherheitsstrategie oft in Verbindung mit neuen Produkten diskutiert wird. obwohl Produkte elemente einer sicherheitsstrategie implementieren können, sind sie keinesfalls mit einer strategie gleichzusetzen – insbeson-dere weil Produkte als antwort auf die marktanforderungen zu verstehen sind und der markt in der Vergangenheit funktionalität oft den Vorzug vor sicherheit gegeben hat.

imPressum

Microsoft DeutschlandKonrad-Zuse-straße 1

85716 unterschleißheim

telefon: +49 89 3176-0fax: +49 89 3176-1000

e-mail: [email protected]: www.microsoft.com/germany

handelsregisternummer:hrB 70438

umsatzsteueridentifikationsnummer:de 129 415 943