Wie sicher ist sicher?

01.02.2005

Liebe Leserinnen und Leser,

zu den am meisten diskutierten Fragen rund um Linux zählt, wie sicher das freie Betriebssystem nun wirklich gegen Angriffe ist. Die landläufige Meinung – die auch immer mehr Ex-Windows-Nutzer ins Linux-Lager treibt – lautet: Linux ist a priori sicher, Windows dagegen unsicher. Immer wieder tauchen denn auch in den Medien Meldungen auf, die diese Meinung auf den ersten Blick zu untermauern scheinen. Selten treten sie aber so geballt auf wie vor wenigen Wochen, als gleich zwei solcher Untersuchungen durch den Blätterwald geisterten.

Die erste davon betraf einen Vergleichstest, bei dem Rechner mit sechs verschiedenen Betriebssystem-Varianten einen zweiwöchigen Survivaltest im Internet hinter sich bringen mussten. Es traten an: Windows Small Business Server 2003, Windows XP mit Service Pack 1 und SP2 sowie SP1 plus Personal Firewall, Mac OS X 10.3.5 und last not least der Debian-Abkömmling Linspire. Die Tester installierten entsprechende Systeme out-of-the-box und verbanden sie direkt mit dem Internet.

Während zweier Wochen wurden die sechs Rechner Ziel von insgesamt 305955 Attacken. Am wenigsten Angriffsfläche boten dabei Linux und Windows XP SP1 plus Personal Firewall, zudem schlug keine der Attacken durch. Trotz etwas häufigerer Angriffe blieben auch die Rechner mit Mac OS X und Windows XP SP2 sauber. Dagegen wurde der Small Business Server binnen acht Stunden kompromittiert. Die Maschine mit unmodifiziertem Windows XP SP1 erlag nach vier Minuten (sic!) dem ersten Angriff.

Kaum weniger beeindruckend fallen die Ergebnisse einer Code-Analyse aus, die das auf solche Untersuchungen spezialisierte Unternehmen Coverty mit automatischen Diagnose-Tools am Linux-Kernel 2.6.9 vornahm. Die Untersuchung förderte gerade einmal 985 als "ernst" eingestufte Bugs in den 5,7 Millionen Codezeilen des Kerns zu Tage. Das entspricht in etwa 2 Fehlern auf 10000 Zeilen Code – und damit nur einem Bruchteil der bei kommerzieller Software üblichen 200 bis 300 Bugs auf die selbe Code-Menge, so Coverty. Gerade einmal jeder hundertste Fehler betraf den Kernel-Core, die Masse fand sich in umgebenden Treibermodulen.

Solche Ergebnisse lesen sich auf den ersten Blick beeindruckend. In Sachen Sicherheit sollte man sich vom ersten Blick aber besser niemals beeinflussen lassen. Schon garnicht darf man zulassen, dass solche Untersuchungen liebgewonnene, aber nicht ganz sattelfeste Paradigmen zum eigenen Lieblings-Betriebssystem zementieren. Schon die Methodik der beiden Untersuchungen lässt bei näherem Hinsehen zu wünschen übrig.

Da vergleicht die erste ein Windows XP, das aus der Schachtel installiert mehrere Dutzend Dienste im Netz anbietet, mit einem Schmalspur-Debian, das gezielt zum Zweck des Nachverkaufs von Software eines Großteils seines Software-Umfangs beraubt wurde. Die zweite stammt von einem Anbieter von Code-Analyse-Tools, der damit die Wertigkeit seines Werkzeugs demonstrieren will, aber konkrete Vergleichswerte für andere Betriebssysteme schuldig bleibt.

Ein Blick hinter die schöne Fassade solcher Tests zeigt das, was wir ohnehin schon hätten wissen können: Bugs und Sicherheitslöcher weisen alle Betriebssysteme auf, egal welcher Provinienz. Je einfacher ein OS dem Anwender die Benutzung von Netzwerkdiensten macht, umso mehr potenzielle Angriffsstellen legt es frei. Wenn Linux wirklich einen Vorsprung in Sachen Security aufweist, dann liegt der nicht an intrinsischer Sicherheit. Er begründet sich auf den offenen Umgang mit Code im Allgemeinen und Bugs im Besonderen. Auch dass die Entwickler für Bugs unverzüglich Fixes bereitstellen und die Diversität von Programmen eine Anwendungs-Monokultur gar nicht erst aufkommen lässt, erschwert Angreifern das Handwerk.

Keinesfalls jedoch dürfen wir uns als Linux-User beruhigt zurücklehnen und die immanenten Vorzüge eines "sicheren Systems" genießen. Sicherheit beruht auf Systempflege, egal wie das verwendete Betriebssystem heißt. Dass uns die Entwickler meist binnen Stunden oder längstens Tagen Bugfixes bereitstellen, nutzt nur dann, wenn wir diese ebenso zügig einspielen. Lassen Sie sich also von Meldungen wie den zitierten darin nicht beirren: Patchen ist die erste Pflicht des Netizen – auch und gerade unter Linux.

Herzliche Grüße,

Jörg Luther

Chefredakteur

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
Kommentare

Infos zur Publikation

LU 06/2015: Shell-Tools

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Grammatikprüfung in LibreOffice nachrüsten
Grammatikprüfung in LibreOffice nachrüsten
Tim Schürmann, 24.04.2015 19:36, 0 Kommentare

LibreOffice kommt zwar mit einer deutschen Rechtschreibprüfung und einem guten Thesaurus, eine Grammatikprüfung fehlt jedoch. In ältere 32-Bit-Versionen ...

Aktuelle Fragen

Konsole / Terminal in Linux Mint 17.1 deutsch
Dirk Resag, 09.05.2015 23:39, 12 Antworten
Hallo an die Community, ich habe vor kurzem ein älteres Notebook, Amilo A1650G, 1GB Arbeitsspe...
Admin Probleme mit Q4os
Thomas Weiss, 30.03.2015 20:27, 6 Antworten
Hallo Leute, ich habe zwei Fragen zu Q4os. Die Installation auf meinem Dell Latitude D600 verl...
eeepc 1005HA externer sound Ausgang geht nicht
Dieter Drewanz, 18.03.2015 15:00, 1 Antworten
Hallo LC, nach dem Update () funktioniert unter KDE der externe Soundausgang an der Klinkenbuc...
AceCad DigiMemo A 402
Dr. Ulrich Andree, 15.03.2015 17:38, 2 Antworten
Moin zusammen, ich habe mir den elektronischen Notizblock "AceCad DigiMemo A 402" zugelegt und m...
Start-Job behindert Bootvorgang, Suse 13.2, KDE,
Wimpy *, 20.02.2015 10:32, 4 Antworten
Beim Bootvorgang ist ein Timeout von 1 Min 30 Sec. weil eine Partition sdb1 gesucht und nicht gef...