Vor Jahren galt Windows als unsicheres Betriebssystem – doch die Zeiten haben sich geändert: einerseits, weil mit dem zunehmenden Erfolg anderer Systeme auch die Angriffe auf deren Sicherheitslücken stiegen, andererseits weil Microsoft inzwischen schon während der Entwicklung ausführliche Sicherheits- und Kompatibilitätstests durchführt. Zudem wurden bereits mit Windows Vista und Windows 7 zahlreiche neue Sicherheitsfunktionen eingeführt, die sich seitdem im praktischen Einsatz bewährt haben.
Einen neuen spektakulären Sicherheitsansatz bringt Windows 8 denn auch nicht mit: Wer sich bereits mit Windows 7 beschäftigt hat, muss nicht viel Neues dazulernen. Statt Änderungen in der Architektur gibt es recht praktische und effiziente Ergänzungen – auch die bestehenden Sicherheitsfunktionen hat Microsoft nochmals verbessert und mit weiteren Optionen ausgestattet.
Mehr Sicherheit
Hierzu zählt etwa die verbesserte Sicherheit der Speicherverwaltung: So soll sich zum Beispiel kein Schadcode mehr im Speicher von Windows 8 einnisten können. Auch der AppLocker wurde weiter überarbeitet: Black/White-Lists lassen sich nun noch einfacher auf Versionskommastellen genau einrichten, um exakt bestimmte Applikationen zu verhindern oder zu erlauben.
Die Festplattenverschlüsselung BitLocker kann im nächsten Windows bereits vor dem Rollout die Anwender-Festplatten verschlüsseln und damit viel Zeit einsparen – zudem verspricht sie eine einfachere Wiederherstellung verloren gegangener PIN-Codes und ermöglicht die Verwaltung von Passwörtern und PINs durch die Anwender selbst. Schon jetzt greifen immer mehr Unternehmen zur Windows-eigenen Verschlüsselung für die Festplatte, nicht zuletzt aufgrund des allgemeinen Trends zu mehr Mobilität.
Unter Windows 8 arbeitet als Microsoft-Browser ausschließlich der Internet Explorer (IE) ab Version 10 – die früheren Versionen 8 und 9 dagegen nicht, sodass hier mögliche Auswirkungen auf unternehmensinterne, webbasierende Applikationen zu prüfen sind. Aus dem Sicherheitsblickwinkel besitzt der Internet Explorer 10 granularere Gruppenrichtlinien, die zentral mit mehr Optionen einstellbar sind. Der im Detail ebenfalls erneut verbesserte SmartScreen-Filter, der ursprünglich Bestandteil des Internet Explorer war und Applikationen unbekannter Herkunft untersucht, wird indessen in Windows 8 selbst integriert.
Abgesicherter Startvorgang
Völlig neu ist hingegen die Forderung nach der Funktion "Secure Boot" im BIOS-Nachfolger "Unified Extensible Firmware Interface" (UEFI): Durch einen abgesicherten Startvorgang sorgt sie dafür, dass Schadsoftware keine Möglichkeit zum dauerhaften Befall des jeweiligen Computers haben soll – dies funktioniert über Zertifikate, die gewährleisten, dass nur Betriebssysteme gestartet werden können, die als vertrauenswürdig signiert sind. Die entsprechenden Angaben werden in speziellen Datenbanken abgefragt. Mit dieser Verfahrensweise sollen Betriebssysteme schon während des Hochfahrens zum Beispiel vor Schadprogrammen auf eingesteckten USB-Sticks geschützt werden.
Ebenfalls neu, aber bislang eher eine Spielerei für Privatanwender, ist die Anmeldung am Gerät über ein Bild-Passwort: Dies funktioniert zum Beispiel durch bestimmte Gesten per Touchscreen oder Maus auf einem eingeblendeten Bild, jedoch nur für einzelne Workstations und nicht über ein zentrales Active Directory. Zudem lässt sich derzeit noch nicht sagen, wie sicher diese Anmeldungsvariante tatsächlich ist.
In Sachen Lizenzverwaltung sind die Key-Management-Services nun direkt in das Active Directory (AD) integriert und benötigen keine zusätzliche Infrastrukturkomponente mehr – allerdings wird dafür die Nutzung von Windows Server 2012 vorausgesetzt.
Ergänzter Virenschutz
Der "Windows Defender" firmiert mit Windows 8 erstmals auch als Virenschutz: Auch das dürfte vorrangig Privatanwender interessieren, da Unternehmen ja in der Regel bereits zentrale Verträge mit Anbietern von Virenschutzprogrammen besitzen, die neben Windows-Systemen oft auch alternative Clients sichern. Allerdings sollten Unternehmen auf jeden Fall abwarten, bis der Hersteller der Antivirussoftware eine eigens für Windows 8 zertifizierte Version zur Verfügung stellt, bevor sie das Betriebssystem migrieren. Denn Sicherheitsanwendungen greifen in der Regel so tief in das System ein, dass Versionen für Windows 7 nicht kompatibel mit Windows 8 sind.
Bei Bedarf soll der Windows-8-eigene Schutz gegen Viren und Schadsoftware aber eventuell auch ergänzend zu den Lösungen von Drittanbietern eingesetzt werden können. Durch die starke Integration in den Windows-Kernel sollen diese Anti-Malware-Komponente und das regelmäßige Updaten von Windows Defender besonders performancefreundlich und wartungsarm erfolgen können.
Auch bei VPN-, Firewall- oder Intrusion-Prevention-(IPS)-Lösungen sollten Unternehmen auf spezielle Windows-8-Versionen warten – oder gegebenenfalls auf die Angebote von Microsoft umstellen. Die Lösungen von Drittherstellern dürften dieses Mal allerdings eher etwas früher bereitstehen als es sonst bei neuen Windows-Versionen üblich ist, da sich das neue Betriebssystem nicht so stark von seinem Vorgänger unterscheidet.
Übergang von XP
Der Sprung von Windows 7 auf 8 ist also vom sicherheitstechnischen Aspekt her nicht allzu groß, da die Änderungen weitgehend im Detail liegen. Wer aber immer noch Windows XP einsetzt, sollte sich spätestens jetzt mit der Sicherheitsarchitektur der beiden aktuelleren Versionen beschäftigen.
Unabhängig von den genannten Verfahren arbeiten sie nach einem abweichenden Ansatz, der den Umgang mit Administrationsrechten völlig verändert: Denn auch wer sich bei Windows 7 oder 8 als Administrator anmeldet, hat noch lange keine umfassenden Admin-Rechte. Dafür sorgt die so genannte "User Account Control" (UAC), auf Deutsch: Benutzerkontensteuerung. Sie trennt wichtige von unkritischen System-Zugriffen und ermöglicht nur einen je nach Nutzergruppe abgestuften Zugang zu bestimmten Funktionen und Prozessen.
Selbst für Benutzer mit Administrationsrechten bedeutet das, dass sie keinen automatischen Zugriff auf funktionskritische Systemressourcen bekommen. Nicht nur Windows selbst, sondern auch die darauf laufenden Anwendungen müssen diesem Ansatz folgen: Denn wenn die Applikation keine Kontensteuerung unterstützt, läuft sie unter Windows 7 oder 8 nicht fehlerfrei – in diesem Fall wird ein Update oder der Kauf einer aktuellen Version empfohlen.
Strenge Abschottung
Ein weiterer großer Unterschied zu Windows XP liegt darin, dass sich Windows 7 und 8 stark abschotten, indem sie viele Systemressourcen nach außen nicht freigeben – stattdessen erlauben sie nur virtualisiert den Zugriff auf ihre Ressourcen. Der Administrator oder ein entsprechendes Programm bekommt dadurch zwar das Gefühl, dass er entsprechende Änderungen durchgeführt hat, doch tatsächlich wurde nur eine "virtuelle Ressource" geändert. Dies ist für viele Administratoren anfangs gewöhnungsbedürftig, doch es verhindert unbedachte Eingriffe, welche die Stabilität des Gesamtsystems gefährden könnten.
Administratoren von Windows-XP-Systemen sollten sich also schon allein wegen dieses veränderten Sicherheitsansatzes frühzeitig mit den neuen Versionen und ihren Verfahrensweisen beschäftigen, um Know-how aufzubauen. Dabei sollten sie auch die neuen Windows-Server-Versionen berücksichtigen, die diesen Ansatz optimal unterstützen. Der Unterschied zwischen den Versionen 7 und 8 ist dann auch vom Standpunkt der Systemverwaltung her längst nicht mehr so gravierend, sodass man hierfür die finale Version von Windows 8 nicht abwarten muss.
Kompatibilität
Die größte technische, organisatorische und finanzielle Herausforderung bei einem Wechsel des Betriebssystems stellen die Geschäftsanwendungen dar. Beim Umstieg von Windows 7 auf 8 hält sich der Aufwand bezüglich der Kompatibilitätsprüfungen jedoch in Grenzen. Sieht man einmal von den bereits genannten "einschneidenden" Sicherheitsanwendungen ab, laufen voraussichtlich mehr als 90 % aller Applikationen für Windows 7 auch vollständig unter Windows 8.
Dennoch bleibt der organisatorische Aufwand für die Abstimmung mit Fachabteilungen und Anwendungsverantwortlichen hoch: Denn existieren zu bestimmten Applikationen keine Kompatibilitätsaussagen der Hersteller, sollte man sicherheitshalber ihr Zusammenspiel mit Windows 8 selbst prüfen – standardisierte Methoden und Werkzeuge für die Automatisierung solcher Tests können das unterstützen.
Bei der Gelegenheit sollte man auch gleich eine fundierte Analyse des Anwenderbedarfs vollziehen: Welche Applikationen, Geräte und Zugriffsmöglichkeiten benötigen die eigenen Mitarbeiter? Welche erhöhen ihre Effizienz? Dies für den Arbeitsplatz im Büro, im Homeoffice und für unterwegs zu klären, ist inzwischen viel wichtiger als die technischen Funktionen des Betriebssystems, das in der Regel bereits alle Wünsche unterstützt und nur entsprechend zu konfigurieren ist. Und erst auf diese Weise erhalten Mitarbeiter eine Umgebung, in der sie sicher, effizient sowie zeit- und kostensparend arbeiten können.
Änderungen für Anwender
Anwender im Unternehmen sollten sich bei Windows 8 überhaupt nicht um das Thema Sicherheit kümmern müssen: Wenn die Optionen sauber konfiguriert und eingestellt wurden, sorgen die eingebauten Sicherheitstechniken automatisch dafür, dass erlaubte Aktionen durchführbar sind und verbotene Aktionen verhindert werden. Die zugehörigen Überprüfungen erfolgen komplett im Hintergrund.
Windows 8 bringt für den Mitarbeiter sogar zahlreiche Vorteile, vor allem auch für den Trend "Bring your own Device": Der Betrieb privater Geräte am Arbeitsplatz wird mit Windows 8 deutlich einfacher, weil sich jetzt sämtliche Gerätekategorien – egal ob Smartphone, Tablet oder Notebook – unter einer Plattform verwalten lassen.
Voraussetzung für mobile private Geräte sollte jedoch der Einsatz von BitLocker sein – mobile Geräte ohne Festplattenverschlüsselung haben aus Sicherheitsgründen im Unternehmenseinsatz nichts verloren, in welchem Szenario auch immer. Denn besonders die beliebten "Smart Devices" gehen leider sehr schnell verloren und der Finder hat ohne Einsatz von Verschlüsselung gegebenenfalls leichtes Spiel, sensitive Unternehmensinformationen auszulesen und an Interessierte weiterzuleiten.
Hinzu kommt, dass ungesicherte private Geräte ein Einfallstor für Angriffe auf das Unternehmensnetz bieten. Daher sollte jedes private Gerät vor dem Zugriff auf das Netzwerk automatisch auf seine Sicherheitseinstellungen geprüft und gegebenenfalls blockiert werden.
Verwaltung verschiedener Geräte
Wer sich nicht um das Management unterschiedlicher Geräte und Plattformen kümmern will, dem steht natürlich auch nach wie vor der klassische Weg offen: ein grundsätzliches Verbot aller Geräte und nur das Erlauben bestimmter Versionen, die als "Unternehmensgeräte" an die Mitarbeiter ausgegeben werden. Dabei sollte man jedoch auch im Unternehmen berücksichtigen, dass diese aufgrund der rasanten Neu- und Weiterentwicklung der privaten Geräte schnell veraltet sind. Und der Trend besagt eindeutig, dass Mitarbeiter ihr "cooles Smartphone" oder das neueste Tablet auch beruflich nutzen wollen – egal ob es erlaubt ist oder nicht.
So läuft die allgemeine Entwicklung auch in Unternehmen dahin, dass in Zukunft immer stärker die effiziente, praktische Anwendung durch die Mitarbeiter im Vordergrund steht und nicht mehr die aus sicherheitstechnischen oder organisatorischen Gründen vorgeschriebenen Prozesse: Der Anwender soll möglichst produktiv arbeiten, egal wie oder womit er das macht. Die IT muss dazu Lösungen im Hintergrund bereitstellen, die eine sichere und effiziente Verwaltung ermöglichen.
Neue Touchscreen-Oberfläche
Eine verstärkte Fokussierung auf den (End-)Anwender ist auch in Windows 8 zu erkennen – am deutlichsten an der völlig neu entwickelten Metro-Oberfläche: Während die Benutzeroberflächen für Touchscreens bei Apple und Google ähnlich erscheinen, verfolgt Microsoft mit "Metro" einen eigenständigen und neuen Ansatz, der von Windows Phone 7 abgeleitet wurde.
Aus diesem Grund dürfte wohl der Mehrheit der Anwender diese Oberfläche eher fremd erscheinen, sodass gegebenenfalls Anwendertrainings zum neuen Bedienkonzept durchzuführen sind. Wo nur Maus und Tastatur zur Verfügung stehen, muss man vor allen Dingen weniger versierte Anwender mit dem neuen Startbildschirm von Windows 8 vertraut machen – er ersetzt nämlich vollständig das altbekannte Startmenü. Unternehmen sollten daher einen entsprechenden Schulungsaufwand einkalkulieren.
Interessant ist die Frage, inwieweit Unternehmen diese radikal neue Oberfläche bereits heute sinnvoll nutzen können: Arbeitsprozesse und Businessanwendungen sind zumeist noch auf die klassischen Bedienkonzepte zugeschnitten. So muss man in der Regel erst neue Workflows entwickeln, die auf Mobilität, Touchscreens, Geräteunabhängigkeit und spontane Kreativität aufbauen. Durch die höhere Flexibilität, Geschwindigkeit und Anwenderfreundlichkeit sind jedoch hierdurch mittelfristig eine steigende Produktivität (vor allem der "Wissensarbeiter") und eine damit verbundene höhere Wettbewerbsfähigkeit des gesamten Unternehmens zu erwarten. Da die Konkurrenz nicht schläft, sollten sich Unternehmen so schnell wie möglich mit den Herausforderungen durch die "Anwenderorientierung der IT" auseinandersetzen.
Einbindung der Mitarbeiter
Ein wichtiger Aspekt ist dabei auch die Einbindung der Mitarbeiter in die Gestaltung von Arbeitsumgebungen. Vormals haben IT-Verantwortliche häufig allein über die Ausstattung und das Verhalten der Clients entschieden. Als anwenderorientiertes Produkt erfordert Windows 8 aber, erst die Bedürfnisse der Nutzer zu untersuchen und die Arbeitsumgebungen dann konsequent darauf auszurichten. Ansonsten besteht die Gefahr einer "Schatten-IT" und somit des Einsatzes von unautorisierten Geräten, Anwendungen und Internetdiensten. Die Unternehmens-IT würde sich durch solche Versäumnisse in Zukunft sogar ein Stück weit selbst abschaffen.
Von den neuen Möglichkeiten durch Windows 8 profitieren insbesondere Mitarbeiter, die viel unterwegs sind: Sie können jederzeit Daten des Unternehmensnetzwerks auf ihren Tablets und Smartphones bearbeiten, Mails abrufen sowie Kunden, Partner oder Kollegen unabhängig vom Kommunikationsmedium kontaktieren. Diese Entwicklung dürfte durch die kommenden "Convertibles", die Nutzungsmöglichkeiten von Tablets und PCs/Notebooks kombinieren, noch einmal deutlich an Schwung gewinnen.
Zeit für die Migration?
Sollten also Unternehmen bereits jetzt die Migration auf Windows 8 planen? Diese Frage lässt sich nicht pauschal beantworten, da sie von der jeweiligen Situation im Unternehmen abhängt: Grundsätzlich müssen Unternehmen, die bereits jetzt Windows Vista oder Windows 7 nutzen, nicht in Hektik verfallen – denn Sicherheit und Verwaltbarkeit sind mit diesen Systemen bis auf Weiteres gewährleistet.
Wer allerdings das neue Paradigma "Anwender- und Nutzenorientierung" auch für seine Client-IT als gewinnbringend akzeptiert, kommt nicht umhin, die alten Standardlandschaften gegen neue, hochflexible und produktive Arbeitsumgebungen zu ersetzen. Aus dem Hause Microsoft ist Windows 8 das einzige System, um solche Lösungen umzusetzen.
Und viele Unternehmen arbeiten heute noch immer mit Windows XP. Für sie wird es nun wirklich Zeit, auf eine neue Version zu migrieren – schon weil der Support für XP im Jahr 2014 endet. Je nach zu erwartender Migrationsdauer können nicht alle Unternehmen auf die Verfügbarkeit von Windows 8 warten – und stellen daher teils in einem ersten Schritt auf Windows 7 um. In diesem Fall sollte man laufende Projekte getrost weiterführen.
Es ist dann später durch eine neue Strategie – im obigen Sinne einer "anwenderorientierten IT" – zu untersuchen, ob Windows 8 ab einem gewissen Zeitpunkt parallel die vorhandenen Windows-7-Arbeitsumgebungen ergänzen sollte: Besonders im Umfeld von Wissensarbeitern kann man damit auch kurzfristig einen Nutzen erreichen, die gegebenenfalls notwendige parallele Verwaltung von Windows 7 und Windows 8 ist dabei mit aktuellen Management-Lösungen als unkritisch anzusehen.
Jochen Rapp ist Solution Manager bei der Computacenter AG & Co. oHG
