Datenschutz und Sicherheit: Was tut Microsoft konkret?

Unsere Verantwortung als IT-Hersteller besteht darin, den Anwendern ein Höchstmaß an Produktsicherheit anzubieten, die Daten und Privatsphäre unserer Kunden vor Angriffen Dritter und unerwünschten Zugriffen zu schützen.

Privacy by Design/Default

  • Unsere Produkte und Services werden nach dem Prinzip „Privacy by Design” bzw. „Privacy by Default” (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) entwickelt und angeboten. Beispiel ist der Trackingschutz des Internet Explorer in Windows 8.
    • Mit den sogenannten Tracking Protection Lists (TPL) können Nutzer die Auswertung ihrer Datenspuren im Netz durch die Werbewirtschaft unterbinden.
    • Mit unserer Entscheidung, den Mechanismus „Do not Track” im Internet Explorer per Voreinstellung zu aktivieren, haben wir in der Internetbranche eine Debatte über den Schutz des einzelnen Nutzers und die Freiheit der Online-Werbebranche im Netz angestoßen.
    • Microsoft ist der Auffassung, dass die Ziele von „Privacy by Default” am besten verwirklicht werden können, wenn die Grundeinstellungen für die jeweilige Technologie oder den Service angemessen sind und von Fall zu Fall festgelegt werden können.

Bspw: Standortdaten Windows Phone 8

  • Weitergabe von Standortdaten: Damit Windows Phone Standortdienste, z.B. eine Karten-App, nutzen kann, müssen User der jeweiligen Anwendung, Funktion oder Website aktiv zustimmen, Zugriffe auf die Standortdaten ihres Geräts zu erlauben.
  • Kinect für die Xbox 360/One, Grundeinstellungen bei Online-Services und der SmartScreen-Filter sind weitere Beispiele dafür, dass Microsoft verschiedene Voreinstellungen für die Privatsphäre nach dem Ansatz „Privacy by Default” umgesetzt hat.

Trustworthy Computing (TwC) / Security Development Lifecycle (SDL)
Eine E-Mail an die Mitarbeiter schreibt Erfolgsgeschichte

  • Um private Anwender und Unternehmen besser vor Gefahren aus dem Internet zu schützen, rief Microsoft-Gründer Bill Gates am 15. Januar 2002 in einer E-Mail an alle Mitarbeiter die Initiative Trustworthy Computing ins Leben. „Wenn wir die Wahl zwischen einer zusätzlichen Funktion und der Lösung eines Sicherheitsproblems haben, müssen wir uns für das Sicherheitsproblem entscheiden”, hieß es in seiner Nachricht.
  • Der Grund für seinen Aufruf: Eine Vielzahl von Viren, wie zum Beispiel die als harmlose Text-Datei getarnte „I-love-you“-Malware, hatte weltweit Millionen von Rechnern befallen und Schäden in Milliardenhöhe verursacht.
  • Sicherheit von Software hatte von nun an oberstes Gebot. Die von Microsoft hergestellten Produkte sollten laut Gates „so verfügbar, verlässlich und sicher wie die Versorgung mit Strom, Wasser und Telefon” sein.

Zahlreiche Neuerungen schützen wirksam gegen Missbrauch

  • Trustworthy Computing hält, was es verspricht. In den vergangenen Jahren hat die Initiative maßgeblich dazu beigetragen, die Sicherheit von Anwendungen und Systemen zu optimieren. Dazu gehört beispielsweise das im Jahr 2004 entscheidend verbesserte Windows Update, das aktualisierte oder ergänzende Softwareversionen automatisch herunter lädt und installiert und damit wirksam gegen Missbrauch vorbeugt.

Der Schlüssel für mehr Sicherheit: Security Development Lifecycle

  • Ebenfalls eine bahnbrechende Neuerung, die mithilfe von Trustworthy Computing umgesetzt werden konnte, ist der Security Development Lifecycle (SDL). Ein Prozess, der sich seit seiner Einführung im Jahr 2004 als effektives Sicherheitsinstrument erfolgreich bei der Entwicklung von Software bewährt hat.
  • Studien belegen es: Durch SDL können sicherheitsrelevante Mängel weitgehend ausgeschlossen und Folgeschäden durch Design- oder Programmierfehler reduziert werden.
  • SDL ist ein Konzept zur Entwicklung von sicherer Software und richtet sich an Entwickler, die Software herstellen, die böswilligen Angriffen standhalten muss.
  • Stark vereinfacht handelt es sich dabei um Gebote und Verbote, Tipps und Tools. Es kam erstmals bei der Entwicklung von Windows Vista zum Einsatz.

Microsoft geht bei SDL von folgenden Grundsätzen aus:

Secure by design

  • Schon in der Planungsphase sollte auf die Sicherheitsbelange der Software eingegangen werden.

Secure by default

  • Trotz sorgfältigster Planung sollte ein Entwickler von dem Vorhandensein von Sicherheitslücken ausgehen. Aus diesem Grund sollten die Standardeinstellungen (z.B. erforderliche Privilegien) möglichst niedrig gewählt werden und selten benutzte Features standardmäßig deaktiviert werden.

Secure in deployment

  • Die mitgelieferten Dokumentationen und Tools sollen die Administratoren dabei unterstützen, die Software möglichst optimal einzurichten.

Communications

  • Die Entwickler sollten offen mit möglichen Sicherheitslücken umgehen und den Endanwendern schnell Patches oder Workarounds zur Verfügung stellen.

Der SDL Prozess

  • Anforderungsphase: Identifikation der Sicherheitsanforderungen und Schutzziele der zu erstellenden Software und deren Schnittstellen
  • Entwurfsphase: Identifikation der Komponenten, die grundlegend für die Sicherheit und Risikomodellierung verantwortlich sind
  • Implementierung: Verwendung von Tools und Test-Methoden sowie Code Reviews
  • Überprüfungsphase: Beta Test mit Nutzern, systematische Suche nach Sicherheitsmängeln
  • Veröffentlichung: Ist die Software auch wirklich reif für die Auslieferung?
  • Schaffung der Möglichkeit auf entdeckte Fehler und Schwachstellen schnell zu reagieren

TÜV Zertifizierungen

  • Microsoft lässt zahlreiche Lösungen von neutralen Prüfinstanzen wie der TÜV Trust IT zertifizieren.
  • Bspw. Internet Explorer 10 (2013), Hotmail (2011)

EU-Model Clauses

  • Wir haben bereits im Jahr 2011 als erster Anbieter von Cloud-Lösungen unseren Business-Kunden in Deutschland die sogenannten EU-Model-Clauses zur Verfügung gestellt.
  • Durch diese Standardvertragsklauseln der Europäischen Kommission erfüllen die Kunden alle rechtlichen Anforderungen zur Auftragsdatenverarbeitung und zum Datentransfer mit Service Providern, die außerhalb der EU ansässig sind.

Security Bulletin / Security Intelligence Report

  • Mit dem Security Bulletin und dem Security Intelligence Report (SIR) geben wir Nutzern einen Überblick über aktuelle Bedrohungen im Internet und zeigen Maßnahmen, die eigene IT-Sicherheit zu erhöhen.

Security Bulletin

  • Security Bulletin erscheinen monatlich zum sogenannten Patch Day und ad hoc, wenn nötig im täglichen Rhythmus, mit Infos und Hilfestellung zu aktuellen Bedrohungen.

Security Intelligence Report

  • Microsoft erstellt den Security Intelligence Report zweimal im Jahr und informiert damit über Veränderungen in der Sicherheitslandschaft. Zudem werden Benutzern Anleitungen zum Schutz ihrer Netzwerke zur Verfügung gestellt.
  • Die aktuelle Ausgabe des Security Intelligence Report (v15) umfasst zwischen Januar und Juni 2013 generierte Daten und Analysen von einer Milliarde Systemen in mehr als 100 Ländern weltweit.

Initiativen und Einrichtungen

  • Die Initiative IT-Fitness zählt zu den größten E-Learning-Projekten in Deutschland. Über vier Millionen Menschen haben zwischen 2007 und 2010 bereits einen IT-Fitness-Onlinetest sowie weitere zahlreiche Qualifizierungsmaßnahmen erfolgreich absolviert. Die Initiative wird nun weitergeführt und soll in den kommenden zwei Jahren zwei Millionen Menschen in Sachen IT-Sicherheit und Schutz der Privatsphäre fit machen.
  • Microsoft wird in Brüssel ein internationales Transparenz-Zentrum eröffnen. Regierungsvertreter können hier den Quellcode unserer Software einsehen und sich davon überzeugen, dass in unseren Produkten keine Hintertüren eingebaut sind, die einen Zugriff auf Daten unserer Kunden ermöglichen könnten.
  • Microsoft hat die Initiative Deutschland sicher im Netz (DsiN) mitgegründet: Die Initiative leistet einen praktischen Beitrag für mehr IT-Sicherheit, indem sie das Bewusstsein von Unternehmen und Privatanwendern für Sicherheit schärft, über sicherheitsrelevante Themen informiert und direkte Schutzmaßnahmen anbietet.
  • Die Microsoft Digital Crimes Unit (DCU) geht gemeinsam mit staatlichen Behörden und NGOs erfolgreich gegen kriminelle Aktivitäten im Netz vor.
  • Da die Sicherheit der Cloud für den Erfolg der Technologie entscheidend ist, engagiert sich Microsoft sehr stark in diesem Bereich: Hierzu zählt bspw. die Zertifizierung und Audits der Rechenzentren, bzw. der Global Foundation Services.

Weitere Infos zu diesem Thema