<P>Das von Microsoft durchgeführte Verfahren beim Auftreten eines Sicherheitsproblems besteht im Allgemeinen aus folgenden Schritten: Meldung, Untersuchung, Entwicklung, Test und Veröffentlichung. </P><P>Das Verfahren beginnt mit der Meldung eines potentiellen Sicherheitsproblems. Microsoft nutzt seine Mitgliedschaft in der <A href="http://www.oisafety.org/about.html" target=_blank>Organization for Internet Safety </A>(Organisation für Internetsicherheit), um die Prinzipien eines verantwortungsbewussten Vorgehens bei der Meldung von Sicherheitsproblemen voranzutreiben. Ein zentraler Punkt ist dabei der Glaube daran, dass sich das Kundenrisiko am effektivsten minimieren lässt, indem die mit der Sicherheit betrauten Software-Entwickler eng mit den Herstellern zusammenarbeiten, um Probleme zu erkennen und zu beheben, bevor diese veröffentlicht werden. </P><P>Wenn Microsoft gleichzeitig mit der Bekanntmachung einer Sicherheitslücke einen Patch herausgibt, ist dies nur möglich, wenn das Problem bereits vor Information der Öffentlichkeit erkannt und die Patchentwicklung abgeschlossen wurde. Dies bedeutet, dass unsere Kunden die Möglichkeit erhalten, sich vor bösartigen Hackern zu schützen, die versuchen, die betreffende Sicherheitslücke auszunutzen. Wenn die Öffentlichkeit jedoch zum gleichen Zeitpunkt wie Microsoft über Sicherheitslücken informiert wird, bleiben die Kunden weiterhin bösartigen Sicherheitsattacken ausgeliefert. </P><P>Nachdem Microsoft entweder privat oder öffentlich über ein potentielles Sicherheitsproblem informiert wurde, beginnt unser Team sofort mit einer Untersuchung, um das gemeldete Problem zu prüfen und zu reproduzieren und um festzustellen, ob bereits damit zusammenhängende oder ähnliche Probleme aufgetreten sind. Erfahrungsgemäß erweist sich nur etwa 1 von 10 gemeldeten Problemen als ein neues und eindeutiges Sicherheitsproblem, das eine Untersuchung rechtfertigt, während es sich bei den anderen 9 um bekannte Probleme, nicht sicherheitsrelevante Probleme oder um Fehler handelt. </P><P>Wenn ein Problem reproduzierbar ist, wird ihm eine Priorität zugewiesen, und es werden mögliche Korrekturen, Verbesserungen und Problemumgehungen erarbeitet. Wir haben mit der Zeit gelernt, dass Verbesserungen und Problemumgehungen sehr wichtig sind, um die Benutzer in die Lage zu versetzen, selbst zu bestimmen, wann und wie sie ihr Risiko verwalten. Das mit der Festlegung und Implementierung des Verfahrens zur Bearbeitung gemeldeter Software-Sicherheitsprobleme betraute Microsoft Security Response Center arbeitet eng mit der jeweils betroffenen Produktgruppe zusammen, um diese Untersuchung durchzuführen und darüber hinaus auch andere unterstützte Produktversionen zu untersuchen, sodass wir ein genaues Bild davon erhalten, wie sich ein Problem für den Kunden auswirken kann. </P><P>Eine der größten Herausforderungen bei diesem Verfahren ist das Testen. Für unsere Kunden ist es höchst wichtig, dass sich Änderungen, die wir an einem Produkt vornehmen, gar nicht oder nur in geringem Ausmaß auf bestehende Installationen und Anwendungen auswirken. Bei einem Produkt wie beispielsweise dem Internet Explorer kann das einen erheblichen Aufwand bedeuten. Microsoft unterstützt zurzeit drei Hauptversionen des Internet Explorer (5.01, 5.5, 6) und mehrere Nebenversionen (zum Beispiel Internet Explorer 6 "gold" und Service Pack 1) für mehrere Betriebssysteme (Windows 98, Windows Me, Windows XP, Windows 2000 und Windows Server 2003) in über 25 Sprachen. Um also ein Problem im Internet Explorer zu beheben, muss Microsoft über 400 Einzelpakete erstellen und veröffentlichen, die auf einer sogar noch größeren Anzahl an Produktkombinationen getestet wurden. </P><P>Zusätzlich zur Durchführung dieser Schritte zum Schutz der Kunden gegen böswillige Attacken bieten das Security Response Center und die Security Business Unit weit reichende Programme und Hilfestellungen über unsere Webeigenschaften, den Support und die direkte Interaktion mit den Kunden. </P><P>Für uns bedeutet dies vor allem, dass wir – obgleich wir auf die rechtzeitige Bereitstellung von Patches bei ernsten Sicherheitsproblemen sehr großen Wert legen – nicht nur den „Zeitaspekt“, sondern ebenfalls den „Qualitätsaspekt“ in den Mittelpunkt stellen, sodass wir die Qualität und Sicherheit zur Verfügung stellen können, die unsere Kunden verlangen. Es ist äußerst wichtig, dass jeder Patch sich korrekt installieren lässt, das Sicherheitsproblem behebt und dabei keine anderen Funktionen beeinträchtigt. Microsoft nimmt diese Aufgabe sehr ernst. </P><P>Weitere Informationen über die Richtlinien des Microsoft Security Response Center und die Meldung eventueller Sicherheitslücken finden Sie auf der Website <A href="http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/msrpracs.asp" target=_blank>Microsoft Security Response Policy and Practices</A>.</P>