Wie sicher ist sicher?

01.02.2005

Liebe Leserinnen und Leser,

zu den am meisten diskutierten Fragen rund um Linux zählt, wie sicher das freie Betriebssystem nun wirklich gegen Angriffe ist. Die landläufige Meinung – die auch immer mehr Ex-Windows-Nutzer ins Linux-Lager treibt – lautet: Linux ist a priori sicher, Windows dagegen unsicher. Immer wieder tauchen denn auch in den Medien Meldungen auf, die diese Meinung auf den ersten Blick zu untermauern scheinen. Selten treten sie aber so geballt auf wie vor wenigen Wochen, als gleich zwei solcher Untersuchungen durch den Blätterwald geisterten.

Die erste davon betraf einen Vergleichstest, bei dem Rechner mit sechs verschiedenen Betriebssystem-Varianten einen zweiwöchigen Survivaltest im Internet hinter sich bringen mussten. Es traten an: Windows Small Business Server 2003, Windows XP mit Service Pack 1 und SP2 sowie SP1 plus Personal Firewall, Mac OS X 10.3.5 und last not least der Debian-Abkömmling Linspire. Die Tester installierten entsprechende Systeme out-of-the-box und verbanden sie direkt mit dem Internet.

Während zweier Wochen wurden die sechs Rechner Ziel von insgesamt 305955 Attacken. Am wenigsten Angriffsfläche boten dabei Linux und Windows XP SP1 plus Personal Firewall, zudem schlug keine der Attacken durch. Trotz etwas häufigerer Angriffe blieben auch die Rechner mit Mac OS X und Windows XP SP2 sauber. Dagegen wurde der Small Business Server binnen acht Stunden kompromittiert. Die Maschine mit unmodifiziertem Windows XP SP1 erlag nach vier Minuten (sic!) dem ersten Angriff.

Kaum weniger beeindruckend fallen die Ergebnisse einer Code-Analyse aus, die das auf solche Untersuchungen spezialisierte Unternehmen Coverty mit automatischen Diagnose-Tools am Linux-Kernel 2.6.9 vornahm. Die Untersuchung förderte gerade einmal 985 als "ernst" eingestufte Bugs in den 5,7 Millionen Codezeilen des Kerns zu Tage. Das entspricht in etwa 2 Fehlern auf 10000 Zeilen Code – und damit nur einem Bruchteil der bei kommerzieller Software üblichen 200 bis 300 Bugs auf die selbe Code-Menge, so Coverty. Gerade einmal jeder hundertste Fehler betraf den Kernel-Core, die Masse fand sich in umgebenden Treibermodulen.

Solche Ergebnisse lesen sich auf den ersten Blick beeindruckend. In Sachen Sicherheit sollte man sich vom ersten Blick aber besser niemals beeinflussen lassen. Schon garnicht darf man zulassen, dass solche Untersuchungen liebgewonnene, aber nicht ganz sattelfeste Paradigmen zum eigenen Lieblings-Betriebssystem zementieren. Schon die Methodik der beiden Untersuchungen lässt bei näherem Hinsehen zu wünschen übrig.

Da vergleicht die erste ein Windows XP, das aus der Schachtel installiert mehrere Dutzend Dienste im Netz anbietet, mit einem Schmalspur-Debian, das gezielt zum Zweck des Nachverkaufs von Software eines Großteils seines Software-Umfangs beraubt wurde. Die zweite stammt von einem Anbieter von Code-Analyse-Tools, der damit die Wertigkeit seines Werkzeugs demonstrieren will, aber konkrete Vergleichswerte für andere Betriebssysteme schuldig bleibt.

Ein Blick hinter die schöne Fassade solcher Tests zeigt das, was wir ohnehin schon hätten wissen können: Bugs und Sicherheitslöcher weisen alle Betriebssysteme auf, egal welcher Provinienz. Je einfacher ein OS dem Anwender die Benutzung von Netzwerkdiensten macht, umso mehr potenzielle Angriffsstellen legt es frei. Wenn Linux wirklich einen Vorsprung in Sachen Security aufweist, dann liegt der nicht an intrinsischer Sicherheit. Er begründet sich auf den offenen Umgang mit Code im Allgemeinen und Bugs im Besonderen. Auch dass die Entwickler für Bugs unverzüglich Fixes bereitstellen und die Diversität von Programmen eine Anwendungs-Monokultur gar nicht erst aufkommen lässt, erschwert Angreifern das Handwerk.

Keinesfalls jedoch dürfen wir uns als Linux-User beruhigt zurücklehnen und die immanenten Vorzüge eines "sicheren Systems" genießen. Sicherheit beruht auf Systempflege, egal wie das verwendete Betriebssystem heißt. Dass uns die Entwickler meist binnen Stunden oder längstens Tagen Bugfixes bereitstellen, nutzt nur dann, wenn wir diese ebenso zügig einspielen. Lassen Sie sich also von Meldungen wie den zitierten darin nicht beirren: Patchen ist die erste Pflicht des Netizen – auch und gerade unter Linux.

Herzliche Grüße,

Jörg Luther

Chefredakteur

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
Kommentare

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.