Freundschaft mit dem Feind? Marc Ruef | 08.08.2005 Mein Arbeitgeber, die scip AG (http://www.scip.ch), versteht sich als neutrales Beratunsgunternehmen. Wir haben uns seit der Firmengründung das Credo "Neutralität gegenübern Produkten, Herstellern und Methoden" auf die Flaggen geschrieben. Dies bedeutet, dass wir keine Produkte verkaufen wollen - Wir wollen Lösungen schaffen und Produkte sind dabei nur Mittel zum Zweck. In einer gewinnorientierten Zeit ist es deshalb nicht verwunderlich, dass unsere Kunden diese Neutralität und Unabhängigkeit zu schätzen wissen. Sie wissen, dass unsere Expertisen stets auf unvoreingenommenen Betrachtungen beruhen und unser primäres Ziel der zufriedene Kunde ist. Es überrascht sodann ebenfalls nicht, dass wir nahezu nur mit "Stammkunden" zu tun haben: Praktisch jeder unserer Kunden hat nach einem ersten Beschnuppern wiedereinmal ein Projekt mit uns umgesetzt. Unabhängigkeit, Neutralität und Unvoreingenommenheit ist nicht immer leicht umzusetzen. Jeder von uns sammelt im Verlauf seines Lebens Erfahrungen und vor allem im IT-Bereich sind Religionskriege bezüglich Betriebssystemen, Herstellern und Produkten keine Seltenheit: Windows und Linux, Microsoft Internet Explorer und Mozilla Firefox, Apache und Microsoft IIS, ... Auch ich stehe gewissen Dingen kritisch gegenüber. So hat zum Beispiel meine Erfahrung gezeigt, dass ich davon abraten würde, einen Microsoft Internet Information Server (MS IIS) als exponierten Webserver im Internet zu plazieren. Zwar sind jetzt einige Monate keine kritischen Fehler im besagten Produkt bekannt geworden. Die aufregende Sicherheitsvergangenheit des IIS und seines Herstellers haben aber aufgezeigt, dass doch der eine oder andere wirklich kritische Fehler geschlummert hat. Dies ist keine Voreingenommenheit oder Vorverulteilung. Dies ist eine Ableitung aus subjektiven Erfahrungen und sachlichen statistischen Auswertungen. Ohne dies wäre ich blauäugig und töricht. Die grosse Wichtigkeit in diesem Belang ist, dass wir unsere Kunden auf unsere Erfahrungen hinweisen und Ratschläge geben. Es bleibt schlussendlich ihm überlassen, ob er diesen nachkommen, eine zweite Meinung einholen oder mit dem Risiko leben will. Religionskriege sind etwas für Fanatiker, und Fanatismus hat in einer Wissenschaft - und so verstehe ich den Bereich der Informationssicherheit - nichts zu suchen. Auch wir versuchen unsere wirtschaftliche Position mit strategischen Allianzen und Partnerschaften zu stärken. Da ist es dann keine Seltenheit, wenn man mal den einen oder anderen Entwickler eines grossen Software-Konzerns trifft, um mit ihm über den letzten Urlaub in Schweden (http://www.computec.ch/comment.php?comment.news.18) zu plaudern. Derlei Erfahrungsaustausch und Freundschaften sind wichtig - Nur so können wir im Fall der Fälle einen Kunden schnell und effizient mit detailreichen sowie verlässlichen Informationen versorgen. Eines Morgens fand ich ein an mich als CC (Carbon Copy) geschicktes Email in meinem Posteingang vor. Absender war ein Herr von Microsoft (http://www.microsoft.ch) und als Attachment ein Word-Dokument mit dem Titel "Security Influencer" gegeben. In dem Schreiben wurde zwischen Simon und dem Herrn bei Microsoft eine Diskussion über eine unabhängige Partnerschaft geführt. Microsoft sei auf der Suche nach unabhängigen Partnern, die sie in Punkto sicheres Developement und Aufklärung bei Entwicklern diesbezüglich unterstützen würden. Derlei Schreiben hab ich schon zu genüge in meinem Leben gesehen und bevor man nicht zusammen an einen Tisch sitzt, sind das für mich inhaltslose Marketing-Floskeln. Ich verstehe solche Dinge primär als "vertuschten Spam", mit dem man sich halt einfach ins Gespräch bringen will. Als mir Simon ein Termin für ein Meeting bei Microsoft schickte wusste ich, dass es doch ernst gemeint war. Trotzdem blieb ich der Sache gegenüber kritisch eingestellt. Als langjähriger Verfechter der open-source Ideologie und Nutzer von GNU/Linux sowie anderen Projekten ähnlicher Struktur ist mir Microsoft in vielerlei Belang "unsympathisch". Ich kann mich noch sehr gut an eine Sitzung bei einer internationalen Bank erinnern, bei der ebenfalls ein Verkäufer von Microsoft Schweiz beigewohnt hatte. Dieser Herr damals, das war vor bald 5 Jahren, schien unendlich überheblich und arrogant. Okay, die meisten Verkäufer tragen diese Eigenschaften zur Schau, aber der Herr von Microsoft schien alles bisher dagewesene zu übertreffen. Mein erneutes Treffen mit Microsoft erwartete ich also mit Spannung, denn ich wollte wissen, ob mein Voraussagen sich bewahrheiten und dadurch zu einem Vorurteil manifestieren könnten. Das Microsoft-Gebäude in Wallisellen ist gross, angenehm strukturiert, schön ausgestattet und hervorragend klimatisiert. Vor allem letzteres war mir wichtig, denn Hitze führt bei mir unweigerlich zu einer enormen Verlangsamung des Denkvermögens - Ein Zustand, den ich vor allem während der Arbeit nicht gebrauchen kann. Die Damen am Empfang schienen gut beschäftigt zu sein und so war es umso erfreulicher, dass wir sehr freundlich zum Warten gebeten wurden. Es würde uns jemand abholen. Nach wenigen Minuten wurden wir von einem legère angezogenen Mann ins Sitzungszimmer geführt, den beiden Microsoft-Mitarbeitern vorgestellt und mit einem kühlen Getränk (ich nahm ein Mineralwasser mit Kohlensäure) versorgt. Und ich war weiterhin positiv erstaunt, denn das einladende Klima der Sitzung, der freundliche Umgang mit den Leuten und die fruchtbaren Diskussionen waren sehr angenehm. Nichts von "bösartigem Kapitalismus", wie man ihn gerne Microsoft als Vorwurf vor die Füsse schmeisst. Und ein überheblicher Verkäufer von Microsoft war auch nicht an der Sitzung anwesend. Das erfreuliche Resultat des Treffens war eine Abmachung, dass wir als unabhängiger - und darauf haben wir gepocht - Partner, Microsoft in der Umsetzung einiger sicherheitsbezogener Projekte helfen würden. Durch das Publizieren von Artikeln bezüglich der Sicherheit von Microsoft-Lösungen und das Anstreben von Workshops mit MSDN-Entwicklern soll das Verständnis für das seit Jahren als unangenehm ud störend betrachtete Thema "Security" schmackhaft gemacht werden. Bei der Rückfahrt mit Simon, er war die ganze Zeit am Telefon beschäftigt, liess ich die Sitzung revue passieren. Irgendwie hatte ich Bedenken: Ist eine solche Zusammenarbeit mit Microsoft Verrat an der open-source Gemeinde? Untergrabe ich die wunderbare Ideologie, wie sie durch einen Richard M. Stallman postuliert wird? Das Resultat meiner Überlegungen: Nein. Microsoft ist darum bemüht, ihre Entwickler mit den aktuellen Sicherheitsproblemen vertraut zu machen. Diese Erhöhung der Sicherheit ermöglicht in erster Linie die Verbesserung der Technologien. Der Kunde ansich zieht den grössten Vorteil daraus. Kritische Horror-Szenarien wie W32.Blaster.Worm (http://www.scip.ch/publikationen/fachartikel/blaster-analyse/) dürften sich dann in Grenzen halten und von vornherein vermeiden lassen. Dass Microsoft mit dieser Qualitätssteigerung ebenfalls Gewinn machen könnte (ich benutze hier Absichtlich nur einen Konjunktiv), ist sekundär zu betrachten. Spieltheoretisch nehme ich lieber ein Win(Kunde)-Win(Microsoft)-Loss(Open-source) weder ein Loss(Kunde)-Loss(Microsoft)-Loss(Open-source) in Kauf. Trotzdem werde ich auch weiterhin kritisch diese Partnerschaft betrachten. Vertrauen ist nämlich etwas, das ich sehr selten einfachso verschenke.