100.000 Angriffe im Monat, 10 Millionen Mails täglich, davon 9 Millionen Spam- und Viren-Mails diese Zahlen sind es gegen die sich der Softwarekonzern Microsoft wappnen muss, ein Artikel in der Computerworld sagt wie.

RAS

Will man die interne Infrastruktur von Microsoft von zuhause oder unterwegs nutzen, so muss man "RAS" nutzen. Dieses System ist allen Microsoft-Mitarbeitern ein Begriff, steht für Remote Access Services und dürfte dem Rest der Welt mehr unter VPN geläufig sein. Da Microsoft wertvolles geistiges Eigentum - etwa die Source Codes seiner Betriebssysteme und Applikationen auf den Servern liegen hat, ist Sicherheit oberste Priorität. Die Server in Redmond sind daher auch, wenig verwunderlich, beliebte Angriffsziele für Hacker und liegen hinter Firewalls gut geschützt und überwacht verborgen.

100.000 Angriffe

Laut Angaben der Microsoft-IT gegenüber Computerworld werden jedes Monat rund 100.000 Angriffsversuche verzeichnet. Gegenwärtig filtern die Microsoft-Filter 9 Millionen Spam- und Virenmails aus dem täglichen E-Mail-Aufkommen von 10 Millionen Nachrichten. Dies bedeutet, dass sage und schreibe 90 Prozent aller eingehender Mails bei Microsoft Spam sind.

Nur VPN?

Die Zahl der Angriffe und die Bedeutung der gespeicherten Daten nur geschützt durch VPN? Dies klingt doch etwas gewagt, und wäre es auch, aber Microsoft hat zudem noch weitere Sicherheitsmaßnahmen implementiert. Die erste Schutzschicht ist die Zwei-Wege-Authentifizierung für das Microsoft-VPN. Nach einem Zwischenfall im Jahr 2000 hat Microsoft einen zertifizierten Public-Key installiert und Smartcards an alle MitarbeiterInnen und LizenzkundInnen ausgeteilt um eine Remote-Verbindung zu den wichtigen und benötigten Daten sicherzustellen. Für eine Zwei-Wege-Authentifizierung braucht man neben der Smartcard auch ein Passwort. "Heute benötigt man eine Smartcard mit einem gültigen Zertifikat und einen PIN, darüber hinaus werden auch ein Netzwerkausweis und ein Zertifikat benötigt, welche die Erlaubnis für den Remote-Zugriff auf das Netzwerk sicherstellen", so Mark Estberg, Direktor der Microsoft Internal Security. Derzeit wird bei Microsoft kein biometrisches System eingesetzt.

Sandbox

Die zweite Sicherheitsebene sind so genannte "Sandboxes". Dies bedeutet, dass die Software vom Rest des Systems abgeschirmt wird, also quasi in einen Sandkasten gesetzt, in dem es einerseits keinen Schaden anrichten kann und andererseits die Wirkungen der Software aufgezeichnet werden können. Bevor ein Computer auf das Netzwerk zugreifen kann, wird er auf verdächtige Aktivitäten gescannt. Zudem müssen die AnwenderInnen über ein genehmigtes Betriebssystem mit sämtlichen installierten Sicherheitsupdates verfügen. Sollten sich die Sicherheitsupdates nicht finden, so werden die AnwenderInnen darauf hingewiesen und zu Updates genötigt. Geschieht dies nicht, dann wird die Verbindung unterbrochen.

Sicherheit vs. Benutzerfreundlichkeit

All diese Sicherheitsvorkehrungen brauchen natürlich eine gewisse Zeit, die den potenziellen AnwenderInnen ordentlich auf die Nerven gehen kann. Laut Angaben der Microsoft-IT dauert der VPN-Sign-in-Scan manchmal mehr als fünf Minuten. Für einen Rechner, der nicht den geforderten Standards entspricht und dem Netzwerk unbekannt ist, können es auch schon einmal bis zu 15 Minuten werden. Um AnwenderInnen, die regelmäßig das Netzwerk nutzen, nicht den Spaß an der Sache zu verleiden, hat Microsoft für diese NutzerInnen die Einwählphase beschleunigt. Die Netzwerkserver speichern Daten während eines Scanns und erkennen regelmäßige AnwenderInnen, diesen wird eine längere Zeitspanne eingeräumt bevor ein erneuter Anmeldescan notwendig wird. Dieser UserInnen sollen innerhalb einer Minute Zugriff auf das Netzwerk erhalten.

Verschlüsselung

Microsoft folgt seinen eigenen Regeln für VPN-Verschlüsselung. Passwortstärke und Passwortänderungen. Aus Sicht des Softwarekonzerns ist die sicherste VPN-Authentification über das Extensible Authentication Protocol-Transport Level Security (EAP-TLS) gewährleistet, welches mittels Smartcards operiert. Das so genannte Point-to-Point Tunneling Protocol (PPTP) in Verbindung mit EAP-TLS bietet den primären VPN-Diensten Verschlüsselung und Absicherung. Zudem bietet der Windows Server 2003 eine Auswahl von standardmäßig vordefinierten Passwort-Policies. Diese verlangen unterschiedlich lange Passworte mit einer Mischung aus unterschiedlichen Zeichen und einem Wechsel des Passworts nach einer gewissen Zeitperiode. Microsoft verwendet eine etwas striktere Version der Standard Windows Server 2003-Passwortpolicy für sein eigenes Netzwerk.

E-Mail und IM

Da die Microsoft-MitarbeiterInnen ein extrem hohes E-Mail-Aufkommen haben, musste sich auch die Exchange-Server-Gruppe um eine Einbettung ihrer Tools in das bestehende Netzwerk bemühen. Die Server erlauben Outlook den Zugriff über RPC over HTTP, zusätzlich durch eine SSL-Verschlüsselung geschützt. Microsoft hat bereits vor Jahren mit dem Einsatz von Exchange-Proxyservern begonnen und das Setup für Outlook-Clients vereinfacht. Dies ermöglicht, dass es keiner VPN-Verbindung für den E-Mail-Verkehr bedarf und zudem mehr Funktionen als über POP3 oder IMAP geboten werden können. Exchange bietet zudem Webmail und Microsoft hat intern sehr stark Outlook Web Access im Einsatz. Der Microsoft Office Communicator 2005 ermöglicht Instant Messaging für Unternehmen. Das Produkt arbeitet sich über das Internet ohne VPN-Verbindung.(red)