Microsoft und Adobe kooperieren bei Sicherheitsprogramm

Das im Oktober 2008 vom Microsoft Security Response Center initiierte MAPP ist ein bislang einmaliges Gemeinschaftsprojekt für den erweiterten Austausch von Informationen über Sicherheitsanfälligkeiten mit Anbietern von Sicherheitssoftware. Ab Herbst 2010 wird sich auch Adobe am MAPP beteiligen und seine Erkenntnisse über Sicherheitslücken mit den weltweit 65 Mitgliedern im MAPP austauschen sowie Hunderten Millionen Nutzern erweiterte Schutzmechanismen zur Verfügung stellen.
 
„Die Sicherheit unserer Kunden auf allen Ebenen steht bei uns an vorderster Stelle“, so Brad Arkin, Senior Director Product Security and Privacy bei Adobe. „Daher ist das Microsoft Active Protections Program ein wichtiger Bestandteil unserer gesamten Produktsicherheitsinitiative. MAPP ist ein Paradebeispiel für ein bereits bewährtes Modell, mit dem ein weltweites Verteidigungsnetz ein gegenseitiges Ziel umsetzen kann: den Schutz unserer gemeinsamen Kunden.“
 
„Microsoft reagiert auf die sich laufend ändernden Bedrohungen mit einem neuen Sicherheitskonzept. Dabei sind Kooperationen und die gemeinsame Verantwortung ausschlaggebend, da einzelne Maßnahmen, wie sie in der Vergangenheit erfolgten, nicht mehr ausreichen“, so Mike Reavey, Director des Microsoft Security Response Center. „Von den Vorteilen des MAPP profitieren nun auch die Kunden von Adobe. Wir werden weiterhin die gesamte Branche – von Sicherheitsexperten und Herstellern bis hin zu Kunden – auf unsere gemeinsame Verantwortung hinweisen.“
 
Koordinierte Offenlegung von Sicherheitslücken
 
Gleichzeitig kündigte Microsoft an, man werde eine neue Philosophie und Methoden zur koordinierten Offenlegung von Sicherheitslücken verfolgen.
 
Per Definition von Microsoft werden neu entdeckte Sicherheitslücken in Hardware, Software und Services entweder direkt dem Hersteller der betroffenen Produkte oder einem CERT-CC oder einer anderen Koordinationsstelle mitgeteilt. Diese setzen den Hersteller oder ein privates Dienstleistungsunternehmen vertraulich über die Sicherheitslücke in Kenntnis. Geht der Weg über ein privates Dienstleistungsunternehmen, informiert dieses wiederum den Hersteller über die Sicherheitslücke. Der Ermittler der Problemstelle bietet dem Hersteller dann die Möglichkeit zur Diagnose und den Zugriff auf vollständig geprüfte Updates, Workarounds oder auf andere Hilfsmaßnahmen, bevor Einzelheiten über die Sicherheitslücke veröffentlicht werden. Auf der Grundlage dieser engen Zusammenarbeit können dem Kunden gegenüber konsistente Aussagen getroffen sowie Hinweise zum Schutz vor der Sicherheitslücke gegeben werden.
 
Weitere Einzelheiten über die koordinierte Offenlegung von Sicherheitslücken sind verfügbar unter http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx.
 
Neue Tools und Leitlinien
 
Darüber hinaus stellt Microsoft verschiedene Lösungen und Leitfäden zur Verfügung, mit denen Kunden informationsbasierte Entscheidungen treffen können, um sich vor Bedrohungen zu schützen und ihre Sicherheitsprozesse zu verbessern:
 
  • Enhanced Mitigation Experience Toolkit (EMET). EMET ist ein kostenloses Tool mit Lösungen zur Risikoverringerung für ältere Plattformen und Anwendungen von Microsoft. Das Angebot, das gezielte Angriffe auf noch ungelöste Schwachstellen verhindert, eignet sich sowohl für Anwendungen von Drittanbietern als auch Line-of-Business-Applikationen und wird im August verfügbar sein. Zur Veranschaulichung steht schon jetzt ein Video auf http://ecn.channel9.msdn.com/o9/edge/9900/29900/emetoverview72010_edge.wmv zur Verfügung.
 
  • Microsoft Vulnerability Research (MSVR) Paper. Der Forschungsbericht MSVR umfasst die Erkenntnisse von Microsoft über die Entwicklung von sicherer Software und die Reaktion auf Sicherheitslücken in Produkten von Drittanbietern, die auf der Microsoft Plattform aufbauen. Seit Beginn der Arbeiten an dem Bericht 2008 hat Microsoft mit über 30 Herstellern zusammengearbeitet. Eine detaillierte Erläuterung zum MSVR steht zum Download zur Verfügung unter http://go.microsoft.com/?linkid=9738193.
 
  • Bericht über den Aufbau eines sicheren und vertrauenswürdigeren Internets durch Sicherheitsprogramme. Im August 2008 startete Microsoft drei Sicherheitsprogramme für den stärkeren Austausch von Informationen zwischen Partnern und Kunden. Die drei Programme – MAPP, Microsoft Exploitability Index und MSVR – wurden in den letzten zwei Jahren weiterentwickelt, um weltweit eine sichere Online-Umgebung für Benutzer zu schaffen:
  • Berichten von Sourcefire Inc. zufolge konnte im Rahmen von MAPP das Angriffsrisiko in einigen Fällen um über 75 Prozent gesenkt werden.
  • Laut iDefense Labs verringert der Microsoft Exploitability Index die Online-Gefahren, da Systemadministratoren mit den Informationen versorgt werden, die für Sicherheitsupdates benötigt werden.
  • Seit 2009 wurden im Rahmen des MSVR Programms 35 verschiedene Sicherheitslücken in Software ermittelt, von denen insgesamt 19 Hersteller betroffen waren. 45 Prozent dieser Sicherheitslücken wurden bisher beseitigt und dadurch die Sicherheit der Microsoft Plattform und der Computerumgebung insgesamt erhöht.
Der vollständige Bericht über die Fortschritte der drei Programme ist verfügbar unter http://go.microsoft.com/?linkid=9738546.
 
Weitere Informationen zum Microsoft Active Protections Program (MAPP):
http://www.microsoft.com/security/msrc/collaboration/mapp.aspx
 
Weitere Informationen zum Microsoft Security Response Center:
https://www.microsoft.com/security/msrc/default.aspx
 
 
Microsoft Deutschland GmbH
Die Microsoft Deutschland GmbH ist die 1983 gegründete Tochtergesellschaft der Microsoft Corporation/Redmond, U.S.A., des weltweit führenden Herstellers von Standardsoftware, Services und Lösungen mit 62,48 Mrd. US-Dollar Umsatz (Geschäftsjahr 2010; 30. Juni 2010). Der operative Gewinn im Fiskaljahr 2010 betrug 24,10 Mrd. US-Dollar. Neben der Firmenzentrale in Unterschleißheim bei München ist die Microsoft Deutschland GmbH bundesweit mit sechs Regionalbüros vertreten und beschäftigt rund 2.700 Mitarbeiterinnen und Mitarbeiter. Im Verbund mit rund 31.500 Partnerunternehmen betreut sie Firmen aller Branchen und Größen. Das European Microsoft Innovation Center (EMIC) in Aachen hat Forschungsschwerpunkte in IT-Sicherheit, Datenschutz, Mobilität, mobile Anwendungen und Web-Services.
 
Microsoft Security
Sicherheit ist ein zentrales Thema für Microsoft. Das Unternehmen verpflichtet sich mit der im Jahr 2002 ins Leben gerufenen Trustworthy Computing (TWC) Initiative dem optimalen Schutz von IT-Systemen und entwickelt fortlaufend Technologie, um bestehende und zukünftige Bedrohungen der Internetsicherheit abzuwehren. Microsoft arbeitet dabei mit einem internationalen Partnernetzwerk zusammen, zum Beispiel als Mitbegründer in der Initiative „Deutschland sicher im Netz“. Zusätzlich bietet der Hersteller stets aktuelle und verständliche Sicherheits-Leitfäden, Schulungen und Software-Werkzeuge, mit deren Hilfe Verbraucher und Unternehmen ihre IT-Umgebungen sicher betreiben können.
 
Ansprechpartner Microsoft
Thomas Baumgärtner
Communications Manager Security
 
2010-106 BusC

Weitere Infos zu diesem Thema