Zweifel an Microsofts Security-Konzept werden lauter

Microsofts Secure Computing soll sicher sein – auch für die User?

Am 6. Mai, auf dem Entwicklerkongress WinHEC in New Orleans, will Microsoft erste Details seines neuen Sicherheitskonzepts der breiten Öffentlichkeit vorstellen. Die Präsentation des bis dato als Palladium bekannten und inzwischen in NGSCB (Next Generation Secure Computing Base) umgetauften Konzepts wird gleichermaßen mit Spannung und Misstrauen erwartet.
Viel von dem, was an Grundzügen über Palladium in den letzten zwölf Monaten bekannt wurde, war heftiger Kritik ausgesetzt. Von dem ‘gläsernen PC-User’ war die Rede, über Daten, die ohne sein Wissen an Rechner der Microsoft-Zentrale in Redmond übertragen werden. Die Vorstellung von Passport und dessen spektakulären Bugs hatten letztes Jahr auch nicht gerade das Vertrauen gegenüber dem Monopolisten gefördert.

Unklar ist aus Anwendersicht erst mal, was NGSCB denn sicherer machen soll. Sicherheit gegenüber Viren, Hackern und Spam mag das primäre Interesse der Anwender und IT-Manager sein, doch es gibt Anhaltspunkte dafür, dass dies nur ein Nebeneffekt von NGSCB sein wird – sofern das Problem überhaupt zuverlässig lösbar ist.

Vielmehr hat Microsoft in jüngster Vergangenheit gezeigt, dass Dinge wie Software-Piraterie und die Erfassung von persönlichen Daten über mehr oder weniger fragwürdige Mechanismen aus seiner Sicht im Vordergrund stehen. So ist auch das Digital Rights Management (DRM) eine Kernkomponente von NGSCB. DRM soll sich auch des Themas der illegalen Distribution von Multimedia-Inhalten annehmen. Bedenkt man Microsofts Ambitionen, ein Medienkonzern zu werden, ein äußerst kluger Schachzug.

Das Podium einer Paneldiskussion über Verschlüsselung nutzten letzte Woche Experten, um grundsätzliche Zweifel an NGSCB und Microsofts Absichten damit zu äußern. Auf dem jährlichen Kongress von RSA Security in San Francisco forderte beispielsweise Whitfield Diffie, Chief Security Officer bei Sun Microsystems und Erfinder der Public-Key-Kryptographie in den 70er Jahren, die Zuhörer dazu auf, “die Schüssel zu ihren Computern selbst zu behalten”.

Obwohl er die Idee einer einheitlichen integrierten Sicherheitsstruktur für PCs grundsätzlich für notwendig hält, bezeichnete er Microsofts Ansatz als falsch, weil er eben den Schüssel zum Rechner nicht dem Anwender überlässt sondern ihn selbst behält. Der Ansatz führe zu Marktdominanz, Aussperrung und zum Zustand, dass der Anwender nicht mehr Herr seines Computers ist. Das würde Kämpfe in der IT-Industrie auslösen, die weit dramatischer wären als der Browserkrieg in den 90er Jahren.

Ein weiterer Experte, der RSA-Gründer und MIT-Professor Ronald Rivest, forderte eine öffentliche Debatte über die Technologie und die Absichten von Microsoft. So wie es jetzt aussehe, würden PC-Nutzer einen Teil ihres Rechners an Leute vermieten, denen sie womöglich nicht trauen würden. Gegenüber der Zeitschrift EE Times sagte Rivest: “Wir müssen die Implikationen dieser Architektur vollständig verstehen.” Die Sache könnte still und heimlich auf die Desktops der Nutzer rutschen, aber er vermute eher, dass es heftige Debatten darüber geben wird.

Still oder nicht, NGSCB rollt unaufhaltsam auf die Anwenderschaft zu. Dafür sorgen auch Aktivitäten seitens Hardware-Herstellern wie Intel, AMD, IBM und HP. Letztere sind dabei, neue CPU-Befehle und Änderungen in die Memory-Controller zu implementieren, um NGSCB zu unterstützen. Hinzu kommt, dass derzeit keine Alternative der Dimension und Breite von NGSCB am Horizont ist.

Zweifel bleiben, ob nach der Vorstellung der Details am 6. Mai die Experten besser im Bilde sind und die Anwender genau wissen, worauf sie sich da einlassen. Doch von der bisherigen Debatte ist auch Microsoft nicht unbeeindruckt geblieben. Erst wurde der Name Palladium ad acta gelegt, weil er durch die Diskussionen negativ belastet war. Und nun zeichnet sich ab, dass von der Funktionsweise von NGSCB sehr viel Umsatz abhängt.

Ein kürzlich unterschriebenes Rahmenabkommen des Bundes mit Microsoft über künftige Installationen wurde vom Innenminister davon abhängig gemacht, dass die Mechanismen von NGSCB durch die Bundesverwaltung überprüft werden. Man wisse nicht, ob und welche Marktschranken durch die Einführung dieser Technologie errichtet werden könnten. Auch die Möglichkeiten von Missbrauch der technischen Schutzmechanismen müsse noch eingehend geprüft werden.

Möglicherweise werden solche Prüfungen für Microsoft dazu dienen, die Belastbarkeit seiner Kunden auszuloten. Der Konzern hat sich bisher über Zeitpunkt und Umfang einer NGSCB-Implementation in Windows noch nicht festgelegt.