Wir brauchen eine Produkthaftung für Softwarehersteller
Vor 25 Jahren nahm man Sicherheit noch anders wahr, denn damals hatten die wenigsten Rechner Internetzugang – das Netzwerk endete hinter dem Proxy oder der Firewall. Zum Glück kann man alte Zöpfe mit Gruppenrichtlinien relativ leicht abschneiden. Microsoft stellt hierfür sogenannte Security Baselines bereit.
Das sind nichts anderes als vorkonfigurierte Gruppenrichtlinien, die unsichere Windows-Features deaktivieren und sichere Verfahren erzwingen. Man kann sie für verschiedene Windows-Versionen herunterladen und dann mit einem Powershell-Skript, das Microsoft in dem Paket mitliefert, importieren.
Auch hier gilt: Warum gibt es keinen Prozess in Windows, der die Baselines automatisch bei Microsoft herunterlädt und importiert? Man könnte auch einen Assistenten anbieten, der beim Testen der Baselines hilft, denn die Baselines haben eventuell massive Nebenwirkungen – Testen ist also unerlässlich!
Eine kleine Anekdote am Rande: Früher programmierte Microsoft so etwas Ähnliches tatsächlich. Der Vorläufer der Security Baselines (oder genauer des Security Compliance Toolkit, von denen die Baselines nur eine Komponente sind) war der Security Compliance Manager, aber daran waren zwei Programmierer Vollzeit beschäftigt, und das wurde Microsoft offenbar zu teuer.
Will ich damit sagen, dass Microsoft die ganze Schuld daran trägt, dass im Jahre 2023 gefühlt jede deutsche Kommune inzwischen einmal durch einen Hackerangriff oder einen Verschlüsselungstrojaner lahmgelegt wurde, und vermutlich auch jedes zweites Unternehmen – nur dass die es besser verbergen können? (Um das mal in einen Kontext zu setzen: Kürzlich traf es Boeing, und die sind ganz sicher kein Mittelständler.)
Ehrlich gesagt: nein. Microsoft tut, was Microsoft als immerhin zweitwertvollstes Unternehmen der Welt tun muss – den Gewinn des Unternehmens maximieren. Seien wir ehrlich: Microsoft arbeitet nicht in erster Linie, um seine Kunden zufriedenzustellen, sondern seine Anteilseigner. Und als Quasi-Monopolist hat Microsoft auch keinen externen Druck, bessere Produkte zu entwickeln. Sonst müssten wir uns heute nicht mit Windows 11 rumschlagen.
Wie realistisch ist es, Windows zu ersetzen?
Sind also wir Kunden Schuld? Bis zu einem gewissen Punkt ganz sicher, denn eigentlich müssten wir als Kunden mit den Füßen abstimmen und Microsoft den Mist einfach nicht mehr abkaufen. Aber da sind wir wieder beim Thema Quasimonopolist.
Welche Möglichkeiten habe ich als Unternehmen, Windows zu ersetzen? Theoretisch wäre das vermutlich sogar mit absehbarem Aufwand möglich, aber spätestens, wenn es darum geht, die vielen Anwendungen, die bei einem durchschnittlichen Unternehmen im Einsatz sind, zu ersetzen (nicht zu reden von Kommunen mit ihren zum Teil gruseligen Fachanwendungen), ist der Aufwand kaum noch überschaubar. Das will sich natürlich niemand antun.
Aus meiner Sicht gibt es tatsächlich nur einen, der an der Misere etwas ändern kann, und das sind die Gesetzgeber. Was uns fehlt, ist eine Produkthaftung für Softwarehersteller. Wenn der Kunde klagen kann, weil ein Verschlüsselungstrojaner aufgrund der Softwarequalität von Windows, Exchange oder anderen wieder einmal Millionenschäden verursacht hat, dann würde sich vielleicht endlich etwas bewegen.
Solange das nicht der Fall ist, sind die Betreiber der Netzwerke in der Pflicht, sich darüber zu informieren, welche Maßnahmen getroffen werden müssen, um Angreifern das Leben möglichst schwer zu machen. Dieses komplexe Thema soll Thema einer baldigen Artikelserie zur Einrichtung sicherer Windows-Netzwerke sein.
IMHO ist der Kommentar von Golem.de [IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)]
Holger Voges ist seit 25 Jahren als Trainer und Berater für Windows-Netzwerke tätig. Er beschäftigt sich mit Active Directory, Hyper-V, SQL-Server, Office 365, Azure und Powershell. Außerdem ist er Autor des Buches Verwaltung von Windows 10 mit Gruppenrichtlinien und Intune. Seit 2012 betreibt er in Hannover die Firma Netz-Weise, die IT-Schulungen und Consulting anbietet.