Linux ist total unsicher - oder doch nicht?
Bislang wähnte ich mich mit meinem Linux-Notebook auf der sicheren Seite. Mails mit Anhängen à la “Supermodel-nackt-als-Screensaver.scr.exe” haben mir nur ein müdes Lächeln abgerungen und kein Virenscanner zwackt mir speicherresident laufend Systemressourcen ab. Doch was lese ich beim US-Cert: Im Jahr 2005 wurden dort 2328 Unix/Linux-Sicherheitslücken gemeldet. Für Windows waren es nur 812. Ist das in Sachen Sicherheit viel gescholtene System aus Redmond also doch die bessere Wahl?
Nicht nur, dass ich mich plötzlich frage, ob sich der bereits vor knapp zwei Jahren vollzogene Umstieg denn gelohnt hat. Immerhin darbt der Linux-Nutzer bei einigen Anwendungen. Der Datenaustausch zwischen Handy und PC via Bluetooth wäre hier zu nennen. Oder auch Urlaubsvideos auf SVCDs brennen. Nein, ich sehe mich auch der Häme windowsfanatischer Kollegen ausgesetzt.
“In quelloffenem Code finden sich halt mehr Schwachstellen” und “die Linux-Installationen sind viel heterogener als der Windows-Einheitsbrei”. So lege ich mir erst mal die pauschalsten Argumentationshilfen zurecht. Doch bei genauer Betrachtung ist die Liste derart platter Diskussionen nicht wert.
Denn US-Cert zählt keineswegs Schwachstellen der Betriebssysteme an sich auf, sondern die von Anwendungen, die auf den jeweiligen Plattformen laufen. So finden sich unter den Unix/Linux-Lecks unter anderem Buffer-Overflows im Apache-Werbserver. Da drängt sich die Frage auf, ob die nicht im Windows-Port auch enthalten sind. Oder, man höre und staune, Lecks beim “Apple Mac OS X NetInfo Setup Tool”, im Packer “Bzip2″, im Unix-Derivat “FreeBSD” , in der SCO UnixWare oder in Anwendungen wie “4D Webstar” oder “Zeroblog”. Mit anderen Worten, die Liste ist eine bunte Mischung von Sicherheitslücken der verschiedensten Linux- und Unix-Varianten sowie von Anwendungen, die bei weitem nicht auf jedem System installiert sind.
Nun Häme für Windows? Keineswegs, denn hier verfährt das US-Cert nach dem gleichen Muster. Es finden sich Schwachstellen unter anderem (ausgerechnet) in der populären Desktop-Firewall “Zonealarm”, in diversen Packern, in den Instant-Messengern von AOL und Yahoo, in Backup-Software von Veritas oder im Virenscanner von Trend Micro.
Also lassen mich Mails mit nackten Supermodels im Bildschirmschoner weiterhin kalt (zumal sie vom Thunderbird-Spamfilter in den Junk-Ordner geschoben werden).
Für den Vergleich von Windows und Linux in puncto Sicherheit wäre es meiner Meinung nach aussagekräftiger und interessanter zum Beispiel Windows Server 2003 und Suse Linux Enterprise Server gegenüberzustellen. Oder für den Desktop etwa Windows XP und Ubuntu oder Fedora Core 4.
Es stellt sich lediglich die Frage, ob so ein Vergleich überhaupt sinnvoll ist. So richtet sich die Wahl des Betriebssystems doch immer ein gutes Stück an den Anforderungen der Anwendungen aus, die man betreiben möchte. So hätte ich sicher neben Linux eine kleine Windows-Partition auf meinem Notebook, wenn ich Urlaubsvideos auf DVD oder SVCD brennen wollte oder auf einen Datenaustausch zwischen Handy und PC angewiesen wäre.
Am 30. Januar 2006 um 21:32 Uhr
Also ich halte es da ganz einfach: Unten drunter Unix (FreeBSD) und Open Source, oben drauf schön. Sprich Mac OS X. Sicher nicht viel sicherer als Windows (Apple patcht auch nicht selten), dafür aber weniger verbreitet und darum nicht so im Visier von Badware-Schreibern. Und DVDs brennen oder syncen mit dem Mobiltelefon geht auch. Was will ich mehr.
Am 31. Januar 2006 um 00:03 Uhr
Also ich halte die Diskussion Windows kontra Linux für ziemlich unsinnig. Sicher kann man sie führen, aber wozu? Beide Systeme haben ihre Stärken und Schwächen - letzteres ein Umstand, den insbsondere die Open-Source-Gemeinde (wie es mir scheint) nur zähneknirschend zugibt. Und mein Kompliment an Microsoft: Die Redmonder haben wirklich dazugelernt, einiges an Arbeit geleistet und enorm Boden gut gemacht. Windows ist zwar noch nicht perfekt, aber auf einem guten Weg. Und das zählt.
Wichtig ist, dass Anwender, die sich zwischen Windows und Linux/Unix entscheiden müssen, rechtzeitig einige Überlegungen anstellen: Wozu brauche ich eine Plattform? Was will ich damit anfangen? Wie sieht mein IT-Umfeld aus?
In Abhängigkeit von diesen Fragen lässt sich dann ein System auswählen und für den jeweiligen Einsatzzweck anpassen beziehungsweise härten. Wer dann überlegt ans Werk geht, der kann sowohl mit Windows als auch mit Linux eine wirklich zuverlässige und sichere Plattform schaffen.
Aber das allerwichtigtste ist dies: Letztlich entscheidend für die Qualität eines Systems ist nicht das Betriebssystem, sondern der dafür zuständige IT-Profi. Er muss damit klarkommen, muss es konfigurieren, anpassen und immer wieder aktualisieren. Nur dann bleibt die Plattform auch weiterhin zuverlässig und sicher.
Am 8. April 2006 um 20:04 Uhr
Windows hat etwas dazugelernt? Teilweise richtig. Es wurde ein wenig schneller, ein klein wenig stabiler. Das war es auch. BlueScreens kommen immer noch. DOS läuft immer noch dahinter. Auch bei XP. Registry immer noch da. Hillllffffeeee. Und da wären noch die Viren, Würmer und Trojaner usw.!
Aber es ist schon richtig. Jeder hat die Wahl. ICH für mich (nur für mich gesprochen) nehme alles (FreeBSD, Linuxe und auch MacOS) in kauf, aber auf keinen Fall mehr Windows. Auch auf der Arbeit wurde es verbannt. Danke!
Am 21. Mai 2006 um 10:44 Uhr
Mal ganz weg von Open contra Closed Source: Wo ist denn da der Anwender? Jeder kennt Leute, die sich unter Windows Viren eingefangen haben und die über Jahre mit den schlimmsten Spyware-Befällen einfach weiter vor sich hinwurschteln. Das liegt nicht nur an Windows, sondern auch am Benutzer. Das sollte mal untersucht werden.
Irgendwie fehlt mir bei den ganzen Sicherheitslückenstatistiken der reale Effekt beim Anwender: Wenn in einer spezialiserten Sicherheitsanwendung unter ganz bestimmten Umständen ein Buffer Overflow ausgenutzt werden kann müsste das geringer gewichtet werden als eine Lücke, die über Monate bei allen Anwender offensteht und über die Hunderte von Firmennetzen penetriert werden.
Michael Aklisch: AFAIK läuft DOS schon seit Windows 2000 nicht mehr “dahinter”.
Am 21. Mai 2006 um 10:45 Uhr
Alexander Hüls: Wo ist eigentlich das Problem bei den SVCDs? K3B ist da IMHO komfortabler als Nero. Falls das Ausgangsmaterial in einem merkwürdigen Format vorliegt, kann man es beispielsweise mit avidemux schön konvertieren.