Wie den Medien, unter anderem heise security zu entnehmen ist, gibt es Änderungen rund um unsere zentrale Sicherheitsgruppe Trustworthy Computing Group (TwC). Diese Änderungen haben keinerlei Einfluss darauf, dass IT-Sicherheit natürlich weiterhin von fundamentaler Bedeutung für Microsoft – und die übrige IT-Industrie – sein wird. Die Umstrukturierungen stehen also nicht für eine sinkende Relevanz des Themas. Im Gegenteil: Vielmehr wollen wir durch das Aufteilen der bisherigen Teilbereiche von TwC für kürzere Wege und raschere Entscheidungen sorgen. Trustworthy Computing gehört also weiterhin zu den Versprechen, die wir unseren Kunden machen.
Aber Änderungen sind nötig. Denn wir bewegen uns schnell weg von einer Welt, in der auf CD/DVD gepresste Softwareprodukte in Schachteln verkauft wurden, die anschließend quasi unverändert für einige Jahre auf den Rechnern der Kunden liefen. Heute sind wir in einer Welt, in der vieles in der Cloud und vieles auf mobilen Endgeräten stattfindet. Die hierfür benötigte Software wird auf andere Arten gepflegt als dies früher der Fall war. Somit ist es auch Zeit für andere Prozesse zur Sicherung der Software.
Ein großer der Teil der heute unter dem Dach von TwC angesiedelten Teams gehört samt dem Leiter der Trustworthy Computing Group, Scott Charney, ab sofort zu unserem Bereich Cloud & Enterprise (C &E). Scott wird die Teams weiterhin führen wie gewohnt und gehört ab sofort zu den Führungskräften von Cloud & Enterprise. Die bislang zur Engineering Excellence-Gruppe von Trustworthy Computing gehörenden Mitarbeiter arbeiten nun in der Developer Division von Microsoft.
Zu den ab sofort bei C&E angesiedelten Teams gehören unter anderem:
- Microsoft Security
- Zertifizierung und Compliance
- Data, Operations und Technik (DOT)
- Global Readiness
Die bisherigen TwC-Führungskräfte wie Matt Thomlinson, John Lambert, Paul Nicholas oder Chris Betz werden auch weiterhin Verantwortung für ihre Mitarbeiter tragen. Einzig der Bereich Network Security gehört ab sofort zu unserer Abteilung Legal and Corporate Affairs, da diese Kollegen sehr viel mit Strafverfolgern weltweit zusammen arbeiten. Unverändert weiter laufen wird auch die Kommunikation rund um unsere sämtlichen Sicherheitsprozesse, darunter auch die am Update-Dienstag veröffentlichten Bulletins.
Weitere Details zu den Veränderungen, den hierfür verantwortlichen Gründen und Gedanken rund um die Rolle von IT-Sicherheit bei Microsoft liefert die folgende Nachricht vom TwC-Leiter Scott Charney (veröffentlicht am 22. September 2014):
Ein Blick in die Zukunft: Trustworthy Computing
Als Bill Gates 2002 die Initiative Trustworthy Computing ins Leben rief, war er von einem fest überzeugt: Wenn wir wirklich zu fundamentalen Veränderungen bei unseren Produkten kommen wollen, müssen wir auch unsere Prozesse und unsere Kultur verändern. Damit diese Veränderungen tatsächlich geschehen, wurde eine zentrale Gruppe damit beauftragt, die Pionierrolle in dieser Initiative zu übernehmen. Beim zehnjährigen Jubiläum im Jahr 2012 zeigten sich die erreichten Fortschritte in vielerlei Hinsicht. Ein wesentliches Ergebnis ist, dass es im ganzen Unternehmen mittlerweile zahlreiche entsprechende Spezialisten und Verfahren gibt. Heute befasst sich jede Gruppe bei Microsoft intensiv mit diesen Fragen und arbeitet an innovativen Lösungen in Sachen Sicherheit, Datenschutz und Zuverlässigkeit.
Aber seit 2002 hat sich die Welt enorm verändert. Mit der Zunahme von Advanced Persistent Threats (APTs), von Cyber-Aktivitäten durch Nationalstaaten und angesichts einer vom Prinzip „Mobile first, Cloud first“ geprägten Welt reichen Sicherheitsprozesse einfach nicht mehr aus, die einst für Paketprodukte mit einem Auslieferungszyklus von drei Jahren entwickelt wurden. Oder anders formuliert: Da die Sicherheit geradezu in unserer DNA verwurzelt ist, lautet die Frage nun, wie wir sie in einer Mobile-first-, Cloud-first-Welt mit neuen Entwicklungskadenzen (z. B. Flighting, Test-in-Production) und angesichts neuer Bedrohungen (z. B. APTs durch Nationalstaaten) verbessern können. Aus meiner Sicht bedarf es dazu zwar weiterhin eines gewissen Levels an zentralisierten Tools und Übersicht, doch das reicht einfach nicht aus.
Trustworthy Computing bleibt also eine kritische Komponente in Microsofts Versprechen an unsere Kunden. Damit wir das Unternehmen sind, das unsere Kunden brauchen, müssen wir in der Lage sein, die bewährten Prozesse beizubehalten, sie aber gleichzeitig an diese neue Welt anzupassen. Die Veränderungen der letzten Woche haben bestätigt, dass unsere Mission kritisch bleibt. Und sie wird uns helfen, in den kommenden Jahren noch wirkungsvoller zu sein, indem wir unsere Arbeitsweise vereinfachen, unsere Agilität verbessern, mehr Verantwortlichkeit anstreben sowie schlankere und effizientere Support-Modelle schaffen.
Durch Konsolidierung der Arbeit innerhalb des Unternehmens und Änderung einiger Berichtsstrukturen wird Microsoft in der Lage sein, viele Entscheidungen zu Fragen des Vertrauensschutzes schneller zu treffen und Pläne mit größerem Tempo umzusetzen – sei es mit dem Ziel, unseren Kunden Innovationen verfügbar zu machen, unsere Engineering-Systeme zu verbessern, die Compliance mit Vorschriften oder Unternehmensrichtlinien zu gewährleisten oder unsere Zusammenarbeit mit den Regulierungsbehörden rund um den Globus zu optimieren.
Ich werde weiterhin an der Spitze des Trustworthy Computing Teams stehen, das nun beim neuen Geschäftsbereich Cloud & Enterprise angesiedelt ist. Maßgeblich ist, dass Trustworthy Computing weiterhin die unternehmensweite Verantwortung für zentral ausgelegte Programme wie Security Development Lifecycle (SDL) und Online Security Assurance (OSA) behält. Diese Veränderungen werden es uns aber auch ermöglichen, uns noch intensiver im Geschäftsbereich Engineering zu engagieren, der die größte Verantwortung für die Zukunft von Cloud und Sicherheit trägt. Gleichzeitig werden wir die Wirkung unserer entscheidenden Arbeit auf Datenschutzfragen weiter erhöhen, indem wir solche Funktionen direkt in die entsprechenden Engineering- und rechtspolitischen Abteilungen integrieren.
Lassen Sie mich mit einer wichtigen Bemerkung schließen: Ich bin der Architekt dieser Veränderungen. Es geht dabei nicht um einen Verlust an Fokussiertheit des Unternehmens oder um ein Nachlassen unseres Engagements. Vielmehr sind diese Veränderungen aus meiner Sicht notwendig, wenn wir beim Vertrauen in das Computing wirklich vorankommen wollen. Als ich 2002 zu Microsoft kam, ging es gerade darum, die Blutungen zu stillen, das Ökosystem zu heilen und – wenn ich das so sagen darf – manchmal auch darum, weiterhin ganz vorne mithalten zu können. Doch in der Zukunft wäre es angesichts neuer Entwicklungskadenzen und einer Mobile-first-, Cloud-first-Welt gefährlich, sich auf vergangene Paradigmen zu verlassen, die für eine ganz andere Umgebung geschaffen wurden. Natürlich bin ich stolz auf unsere Vergangenheit, aber wir müssen für die Zukunft planen.
Scott Charney, Corporate Vice President, Trustworthy Computing
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.