Home / LinuxUser / 2005 / 02 / Wie sicher ist sicher?

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

Eingedost
(161 Punkte bei 4 Stimmen)
Aufteiler
(161 Punkte bei 4 Stimmen)

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.

Aufmacher Artikel

Wie sicher ist sicher?

01.02.2005

Liebe Leserinnen und Leser,

zu den am meisten diskutierten Fragen rund um Linux zählt, wie sicher das freie Betriebssystem nun wirklich gegen Angriffe ist. Die landläufige Meinung – die auch immer mehr Ex-Windows-Nutzer ins Linux-Lager treibt – lautet: Linux ist a priori sicher, Windows dagegen unsicher. Immer wieder tauchen denn auch in den Medien Meldungen auf, die diese Meinung auf den ersten Blick zu untermauern scheinen. Selten treten sie aber so geballt auf wie vor wenigen Wochen, als gleich zwei solcher Untersuchungen durch den Blätterwald geisterten.

Die erste davon betraf einen Vergleichstest, bei dem Rechner mit sechs verschiedenen Betriebssystem-Varianten einen zweiwöchigen Survivaltest im Internet hinter sich bringen mussten. Es traten an: Windows Small Business Server 2003, Windows XP mit Service Pack 1 und SP2 sowie SP1 plus Personal Firewall, Mac OS X 10.3.5 und last not least der Debian-Abkömmling Linspire. Die Tester installierten entsprechende Systeme out-of-the-box und verbanden sie direkt mit dem Internet.

Während zweier Wochen wurden die sechs Rechner Ziel von insgesamt 305955 Attacken. Am wenigsten Angriffsfläche boten dabei Linux und Windows XP SP1 plus Personal Firewall, zudem schlug keine der Attacken durch. Trotz etwas häufigerer Angriffe blieben auch die Rechner mit Mac OS X und Windows XP SP2 sauber. Dagegen wurde der Small Business Server binnen acht Stunden kompromittiert. Die Maschine mit unmodifiziertem Windows XP SP1 erlag nach vier Minuten (sic!) dem ersten Angriff.

Kaum weniger beeindruckend fallen die Ergebnisse einer Code-Analyse aus, die das auf solche Untersuchungen spezialisierte Unternehmen Coverty mit automatischen Diagnose-Tools am Linux-Kernel 2.6.9 vornahm. Die Untersuchung förderte gerade einmal 985 als "ernst" eingestufte Bugs in den 5,7 Millionen Codezeilen des Kerns zu Tage. Das entspricht in etwa 2 Fehlern auf 10000 Zeilen Code – und damit nur einem Bruchteil der bei kommerzieller Software üblichen 200 bis 300 Bugs auf die selbe Code-Menge, so Coverty. Gerade einmal jeder hundertste Fehler betraf den Kernel-Core, die Masse fand sich in umgebenden Treibermodulen.

Solche Ergebnisse lesen sich auf den ersten Blick beeindruckend. In Sachen Sicherheit sollte man sich vom ersten Blick aber besser niemals beeinflussen lassen. Schon garnicht darf man zulassen, dass solche Untersuchungen liebgewonnene, aber nicht ganz sattelfeste Paradigmen zum eigenen Lieblings-Betriebssystem zementieren. Schon die Methodik der beiden Untersuchungen lässt bei näherem Hinsehen zu wünschen übrig.

Da vergleicht die erste ein Windows XP, das aus der Schachtel installiert mehrere Dutzend Dienste im Netz anbietet, mit einem Schmalspur-Debian, das gezielt zum Zweck des Nachverkaufs von Software eines Großteils seines Software-Umfangs beraubt wurde. Die zweite stammt von einem Anbieter von Code-Analyse-Tools, der damit die Wertigkeit seines Werkzeugs demonstrieren will, aber konkrete Vergleichswerte für andere Betriebssysteme schuldig bleibt.

Ein Blick hinter die schöne Fassade solcher Tests zeigt das, was wir ohnehin schon hätten wissen können: Bugs und Sicherheitslöcher weisen alle Betriebssysteme auf, egal welcher Provinienz. Je einfacher ein OS dem Anwender die Benutzung von Netzwerkdiensten macht, umso mehr potenzielle Angriffsstellen legt es frei. Wenn Linux wirklich einen Vorsprung in Sachen Security aufweist, dann liegt der nicht an intrinsischer Sicherheit. Er begründet sich auf den offenen Umgang mit Code im Allgemeinen und Bugs im Besonderen. Auch dass die Entwickler für Bugs unverzüglich Fixes bereitstellen und die Diversität von Programmen eine Anwendungs-Monokultur gar nicht erst aufkommen lässt, erschwert Angreifern das Handwerk.

Keinesfalls jedoch dürfen wir uns als Linux-User beruhigt zurücklehnen und die immanenten Vorzüge eines "sicheren Systems" genießen. Sicherheit beruht auf Systempflege, egal wie das verwendete Betriebssystem heißt. Dass uns die Entwickler meist binnen Stunden oder längstens Tagen Bugfixes bereitstellen, nutzt nur dann, wenn wir diese ebenso zügig einspielen. Lassen Sie sich also von Meldungen wie den zitierten darin nicht beirren: Patchen ist die erste Pflicht des Netizen – auch und gerade unter Linux.

Herzliche Grüße,

Jörg Luther

Chefredakteur

Tip a friend    Druckansicht Bookmark and Share
Kommentare

1010 Hits
Wertung: 130 Punkte (6 Stimmen)

Schlecht Gut

Infos zur Publikation

Infos zur Publikation

LinuxUser 05/2014

Aktuelle Ausgabe kaufen:

Heft als PDF kaufen

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,95 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 60,60) können Sie im Medialinx-Shop bestellen.

Tipp der Woche

Bilder vergleichen mit diffimg
Bilder vergleichen mit diffimg
Tim Schürmann, 01.04.2014 12:40, 1 Kommentare

Das kleine Werkzeug diffimg kann zwei (scheinbar) identische Bilder miteinander vergleichen und die Unterschiede optisch hervorheben. Damit lassen sich nicht nur Rätsel a la „Orignial und Fäls...

Aktuelle Fragen

programm suche
Hans-Joachim Köpke, 13.04.2014 10:43, 8 Antworten
suche noch programme die zu windows gibt, die auch unter linux laufen bzw sich ähneln sozusagen a...
Funknetz (Web-Stick)
Hans-Joachim Köpke, 04.04.2014 07:31, 2 Antworten
Bei Windows7 brauche ich den Stick nur ins USB-Fach schieben dann erkennt Windows7 Automatisch, a...
Ubuntu 13.10 überschreibt immer Windows 8 Bootmanager
Thomas Weiss, 15.03.2014 19:20, 8 Antworten
Hallo Leute, ich hoffe das ich richtig bin. Ich habe einen Dell Insipron 660 Ich möchte gerne Ub...
USB-PTP-Class Kamera wird nicht erkannt (Windows-only)
Wimpy *, 14.03.2014 13:04, 15 Antworten
ich habe meiner Frau eine Digitalkamera, AGFA Optima 103, gekauft und wir sind sehr zufrieden dam...
Treiber
Michael Kristahn, 12.03.2014 08:28, 5 Antworten
Habe mir ein Scanner gebraucht gekauft von Canon CanoScan LiDE 70 kein Treiber wie bekomme ich de...