Channel Security

Wie in der letzten Folge angekündigt, werde ich mal ein bisschen unterm Teppich kehren, da liegt noch ein bunter Haufen Vista- und NSA-Gerümpel. Wie vermutet, gibt es nichts Neues, also versuche ich mal, das Vorhandene zu sortieren. Auslöser des Ganzen war ein Artikel der Washington Post, auf den sich zumindest alle deutschen Quellen berufen: "For Windows Vista Security, Microsoft Called in Pros". Und darin kommt auch schon das Hauptproblem zur Sprache: Microsoft sagt quasi gar nichts, die NSA wenig zur Zusammenarbeit. Laut NSA wurden dort zwei Teams gebildet: Die bösen Hacker im roten Team versuchten Vista-Systeme zu hacken, die guten Verteidiger im blauen Team sollten dies verhindern. Wieso kommen mir diese Farben eigentlich so bekannt vor? Die Ergebnisse dieser Untersuchungen flossen dann in den "Windows Vista Security Guide" ein. Übrigens ist darüber die Beteiligung der NSA überhaupt erst bekannt geworden, denn Microsoft weist darin ausdrücklich darauf hin: "At the request of Microsoft, the National Security Agency Information Assurance Directorate participated in the review of this Microsoft security guide and provided comments that were incorporated into the published version." Auch das US-Amerikanische "National Institute of Standards and Technology (NIST)" war demnach am Erstellen des Security Guide beteiligt.

Zwei Teams zu bilden, von denen das eine ein System angreift und das andere es verteidigt, ist übliche Praxis. Dafür braucht man keinen Geheimdienst, entsprechende Leistungen kann man bei einer Vielzahl von Unternehmen einkaufen. Ein gutes Google-Stichwort dafür ist z.B. "penetration test". Und zumindest für das Verteidiger-Team sollte Microsoft auch genug eigenes Personal haben. Oder können die da etwa kein Vista konfigurieren/administrieren? Was fehlt, sind also ggf. ein paar Fachkräfte für das Angreifer-Team. Und da im Security Guide unter "Development Team" einige Unternehmen aufgeführt sind, z.B. Infosys Technologies, scheint sich Microsoft ja Hilfe geholt zu haben. Dass sie dann zusätzlich auf die Hilfe der NSA zurückgegriffen haben, war - ich nenne es mal 'ungeschickt'. Die NSA hat nun mal einen schlechten Ruf, und das zu Recht. Ein Geheimdienst, der, zum Teil unter Umgehung von Gesetzen, sein eigenes Volk bespitzelt, macht sich nun mal keine Freunde. Und zumindest ich wäre bei Ratschlägen zur Absicherung meines Rechners von jemandem, dessen Aufgabe normalerweise das Eindringen in eben diesen Rechner ist, sehr skeptisch. Ob die NSA überhaupt geeignet ist, um die besonderen Bedürfnisse von Unternehmen, für die der Security Guide gedacht ist, zu beurteilen, wage ich auch zu bezweifeln. Aber vermutlich ist die NSA-Beteiligung ein gutes Argument, um Vista an US-Behörden zu verkaufen.

An den Security Guide muss sich ja niemand halten, also ist es egal, was die NSA darin evtl. manipuliert hat. Wichtiger ist die Frage, ob die NSA eine Hintertür in Vista eingebaut hat. Die Antwort darauf lautet "ja - vielleicht - nein", je nachdem, wen man fragt oder wessen Text man liest. Meine Antwort: Höchstwahrscheinlich nicht. Wieso ich mir da so sicher bin? Aus mehreren Gründen:

1. Wenn in Vista eine Hintertür für wen auch immer ist, käme das irgendwann raus. Und dann wäre Microsoft erledigt. Das wissen die Verantwortlichen sehr genau. Also werden sie weder selbst eine einbauen, noch von Dritten einbauen lassen. Möglich wären absichtliche Schwachpunkte, die ein Eindringen erleichtern. Aber auch das wäre sehr riskant. Einmal dadurch vergraulte Kunden kämen nie zurück - und würden in einer Lawinenreaktion weitere Kunden mitziehen.
2. Selbst wenn es eine klassische Hintertür gäbe und z.B. ein Prozess 'zufällig' auf einem freien Port lauscht, zu dem dann 'zufällig' die NSA eine Verbindung aufbaut - was solls? Das ist die Hintertür, und wer da hin will, muss erst einmal aufs Gelände und dafür am Pförtner vorbei, mit anderen Worten: Durch die Firewall. Wenn die anständig konfiguriert ist, können die Systeme dahinter Hintertüren haben ohne Ende, ein Verbindungsaufbau scheitert schon im Ansatz. Warum also sollte jemand das Risiko eingehen, eine in den meisten Fällen nutzlose Hintertür einzubauen? Da sind gezielte, optimal auf das Opfer angepasste Angriffe z.B. mit Trojanern viel zielführender.
3. Bleibt die Möglichkeit eines im System integrierten Trojaners, der nach Empfang z.B. einer speziellen E-Mail von sich aus den Festplatteninhalt an die NSA schickt oder eine Verbindung aufbaut. Für den gilt dasselbe wie bei Punkt 1: Wenn so etwas rauskommt, kann Microsoft vielleicht noch Mäuse und Tastaturen verkaufen, aber ihre Software würden sie nicht mehr los.

Eine "ab Werk" integrierte Schnüffelfunktion ist also unwahrscheinlich. Nochmals so eine Aktion wie 1999 die 'versehentliche' Übertragung der Word-GUID an eine Datenbank, die diese dann ebenso 'versehentlich' speichert, kann sich Microsoft m.E. nicht erlauben, ohne ernsthaft Schaden zu erleiden. Dass die Zusammenarbeit mit Geheimdiensten den Absatz nicht unbedingt ankurbelt, könnten sie sogar jetzt schon merken, wenn getreu dem alten Spruch "Wo Rauch ist, ist auch Feuer" weniger Anwender als eigentlich erwartet zu Vista wechseln. Und auch wenn es zurzeit nur Wasserdampf ist - vielleicht brennt ja irgendwo darunter was?

Ach ja, laut Washington Post hat Microsoft auch mit der NATO zusammengearbeitet. Nach dem Panzer vor jedem WM-Fußballstadion gibt es dann demnächst auf Wunsch vielleicht den Schützenpanzer vor jedem Server? Also ein paar Pioniere könnte ich hier gut gebrauchen, aber erst im Frühjahr - die können dann gleich den Garten umgraben.

Carsten Eilers