Ist Linux die sicherere Alternative zu Windows?

EnterpriseSicherheit

Das Ansehen von Linux als “von Grund auf sicheres” Betriebssystem wächst beständig, das von Windows sinkt. Dafür gibt es handfeste Gründe.

Selbst Microsofts Unternehmenschef und oberster Einpeitscher Steve Ballmer musste in der jüngsten Vergangenheit einräumen, dass die zahlreichen Sicherheitsprobleme von Windows dem Softwareriesen inzwischen schaden. Er musste zugeben, dass Großkunden zögern, sich auf mehrjährige Lizenzvereinbarungen einzulassen, was sich bereits auf den Umsatz in Microsofts erstem Quartal ausgewirkt hat.
Woher die Skepsis der Anwender kommt, demonstriere die Situation bei Servern das Problem am besten, sagt John Pescatore, Analyst des Beratungsunternehmens Gartner: “Auf zwei von drei Internet-Servern läuft Unix oder Linux, trotzdem handelt es sich bei zwei von drei Internet-Servern, in die eingebrochen wird, um Windows-Systeme.” Windows dominiere nicht die Internet-Serverlandschaft, aber es sei viel einfacher Windows-Rechner zu hacken. “Sie sind die Früchte, die am niedrigsten hängen, deshalb stürzen sich Angreifer auf sie.”

Das US-Marktforschungsunternehmen Evans Data kann Microsofts sinkende Reputation in Entwicklerkreisen mit Zahlen belegen: So zeigt eine Umfrage aus dem vergangenen Herbst, dass Linux seine Führungsposition als das “von Grund auf sicherste Betriebssystem” ausbauen konnte. Etwa 23 Prozent von mehr als 500 befragten nordamerikanischen Entwicklern trafen diese subjektive Einschätzung – sechs Monate zuvor waren es noch 19 Prozent. Gleichzeitig sank die Zahl der Entwickler, die Windows XP als das “von Grund auf sicherste Betriebssystem” bezeichneten von 14 auf 8 Prozent. “Das überrascht nicht”, sagt Evans-Data-Analystin Esther Schindler, “schließlich gab es für Windows fast wöchentlich ein kritisches Sicherheits-Update.”

Nun sollte man nicht so tun als ob Linux-Umgebungen problemfreie Zonen wären, als würde Patching für Linux-Aministratoren ein Fremdwort sein (auf der Website von Suse wurden allein in den letzten drei Monaten zehn Bulletins veröffentlicht), oder als ob es Viren nur in der Windows-Welt geben könne. Doch die Argumente, mit denen Microsoft Versäumnisse in Sachen Security vorgeworfen werden, sind nicht von der Hand zu weisen.

Problempunkt 1: Microsofts Einstellung

Microsofts Produktsicherheit steht schon seit längerem massiv im Kreuzfeuer der Kritik. Denn bis vor zwei Jahren hat der Softwareriese dem Thema nur eine geringe Bedeutung beigemessen. Man konzentrierte sich in Redmond lieber auf die einfache Bedienbarkeit der Software. “Das änderte sich erst, als die Reaktionen der Anwender auf Würmer à la ‘Code Red’ Bill Gates davon überzeugten, dass er Microsofts – und seine eigene – Kultur verändern muss”, hat John Pescatore beobachtet.

Doch es brauche Zeit, bis sich diese grundsätzliche Erkenntnis durchgängig in der Produktstrategie bemerkbar machen könne, stellt Carsten Casper fest, Analyst beim Beratungsunternehmen Meta Group. “IBM beispielsweise hatte 1970 keine Sicherheitsfunktionalitäten in ihren Produkten; 1980 waren die Systeme dann schließlich sicher”, zieht der Meta-Group-Berater einen Vergleich. “Es braucht eben viel Zeit, um Sicherheit umzusetzen, wenn man das Thema viele Jahre lang verschoben, verschlafen oder ignoriert hat.”

Immerhin, Gartner-Analyst Pescatore bescheinigt dem Softwareriesen, dass dieser “mit dem Thema Sicherheit inzwischen anders umgeht”. Für das kommende Yukon-Release des SQL Server und für Windows Server 2003 habe Microsoft in punkto Sicherheit wirklich sehr gute Arbeit geleistet.

Problempunkt 2: Die Integration von Anwendungen

Doch neben dieser Vernachlässigung des Themas Sicherheit aus strategischen Gründen haben die Probleme mit Microsoft-Software noch einen weiteren, schwerwiegenderen Grund: die tiefe Integration der Applikationen ins Betriebssystem. “Dies ist ein gewaltiges Sicherheitsproblem”, bestätigt Pescatore. Dass der Webserver IIS in Windows und in Produkte wie Frontpage eingebaut worden sei, und Microsoft mit der Datenbank SQL Server ähnlich verfahren sei, habe schließlich erst die Schäden durch Würmer wie Nimda, Blaster oder Slammer möglich gemacht. “Auch die Verwendung von Funktionen wie ‘Remote Procedure Call’ ist in Microsoft-Produkten nicht gut umgesetzt worden”, attestiert der Gartner-Analyst.

“Bei der Entwicklung von Betriebssystemen gibt es grundlegende Regeln im Hinblick auf Sicherheit und Zuverlässigkeit”, schrieb kürzlich in einem Diskussionsforum Jeff Venters, ein Veteran in der Entwicklung von BSD-Unix-Derivaten für Supercomputing. “Eine davon ist, dass Anwendungen nie in der Lage sein sollten, ein Betriebssystem zum Absturz zu bringen.” Das sei bei Windows allerdings mitnichten der Fall. Selbst Microsoft-Entwickler geben inzwischen zu, dass mehr als die Hälfte aller Systemabstürze auf Anwendungen zurückzuführen seien. Venters’ Urteil: “Die gesamte Windows-Betriebsystemfamilie ist vom Entwurf her fehlerhaft.” Allein die Installation von Anwendungen decke diesen Fehler auf, denn sie bewirkte eine Veränderung von Systemdateien wie DLLs und der Registry. “This is a big no-no”, so Venters.

Andererseits: “Ein wirklich sicheres Betriebssystem war nie ein Erfolg am Markt”, stellt John Pescatore lakonisch fest. Keine gängige Linux-Distribution unterstützt beispielsweise per se die Funktion ‘Mandatory Access Control’. Dabei legt eine Security-Policy-Engine fest, was ein Prozess darf und was nicht. Dringt ein Angreifer beispielsweise über einen Fehler in einen Webserver ein und bringt den Prozess unter seine Kontrolle, besteht trotzdem keine Gefahr für das gesamte System, da dieser Prozess “eingesperrt” wird – er hat keinen Zugriff auf andere Prozesse, Sockets oder Dateien.

Problempunkt 3: Proprietärer Code

Die Sicherheit der eigenen Produkte hat Microsoft unlängst mit dem Argument verteidigt, dass ein Softwareunternehmen seiner Größe viel besser in der Lage sei, auf Probleme mit der Sicherheit zu reagieren und Patches bereitzustellen. Spätestens seit letzter Woche, als Microsoft ein Patch für einen Fehler in seinem ASN-Protokoll veröffentlichte, dürfte dieses Argument allerdings hinfällig sein. Ganze 200 Tage sind zwischen der Meldung der Lücke seitens der Sicherheitsexperten von eEye und der Veröffentlichung des Patches verstrichen – ein Zeitraum, den eEye-Chef Marc Maiffret als “lächerlich” bezeichnete.

Zudem wirkt Microsofts Patch-Politik des Öfteren nicht besonders durchdacht, wie sich beispielsweise Anfang Februar zeigte: Nach der Veröffentlichung eines kritischen Updates für den Internet Explorer schob Microsoft drei Tage später einen Patch nach, der eine neu entstandene Sicherheitslücke des vorangegangenen Updates beseitigte. Dass es sich dabei erneut um einen Schnellschuss handelte, zeigt die Tatsache, dass sich das Update des Update nicht mehr rückgängig machen lässt – Patchen als Grundsatzentscheidung.

Auch die Befürchtung, ein allgemein zugänglicher Quellcode wie der von Linux stelle eine Gefahr dar, weil dadurch seine Schwachstellen für jedermann zugänglich und nutzbar seien, scheint ins Leere zu laufen. Eher das Gegenteil ist der Fall: Zum einen werden Schwachstellen durch die aufwändige Testphase jedes neuen Release seitens der Open-Source-Gemeinde noch vor der endgültigen Version aufgedeckt. Zum anderen sind laut Gartner-Berater Pescatore die Reaktionszeiten auf Sicherheitslücken in Linux und anderer Open-Source-Software eindeutig kürzer als bei proprietärem Code. “Wenn der Quellcode veröffentlicht wird und von Außenstehenden getestet werden kann, erhöht das die Wahrscheinlichkeit, dass Entwicklungsfehler schneller aufgedeckt werden.” Auf proprietären Unix-Plattformen dagegen könne ein Patch für eine Sicherheitslücke manchmal sogar noch länger auf sich warten lassen als in der Windows-Welt, weil die Anbieter geringere Personalressourcen für die Betriebssystempflege haben.

Die These “Offener Code ist sicherer” bestätigten auch Reaktionen von silicon.de-Lesern nachdem gemeldet wurde, dass Windows-Quellcode ungeschützt im Netz aufgetaucht sei. Von der Tatsache, dass der Code eingesehen werden könne, würden sowohl Microsoft als auch Windows-Nutzer profitieren – auch wenn die Schwachstellen zuerst von Hackern ausgenützt wurden. “Wenn die Exploit-Schreiber mit ihrer Arbeit fertig sind und Microsoft die Patches nachgelegt hat, würde ein Großteil des Windows-Quellcodes einem enormen Qualitätstest unterzogen worden sein” schrieb ein Leser. Dies würde den Sicherheitslevel wohl nicht für die nächsten Monate erhöhen, aber vielleicht doch für die nächsten Jahre.

Ein anderer Leser wurde etwas expliziter mit seiner Kritik in Richtung Redmond: “Wäre Windows sauber und sicher programmiert, müsste Microsoft weniger Angst vor den Folgen einer solchen ‘ungewollten’ Veröffentlichung haben. Die große Angst und das Trara lassen bereits vermuten, dass noch einige Leichen im Keller liegen.”

Problempunkt 4: Die Abwärtskompatibilität

Die Open-Source-Community verfolgt Microsofts Verrenkungen mit einer gewissen Schadenfreude. Denn anders als Windows, das viel Code enthält, um abwärtskompatibel bis in die Tage der alten DOS-Programme zu sein, ist beispielsweise Linux damals von Linus Torvalds von Grund auf neu konzipiert worden. Nutzer und Prozesse sind jeweils voneinander getrennt. Linux verhindert dadurch die automatische Ausführung von Code, in der Windows-Welt dagegen ist das grundlegend anders. Und nur deshalb konnten viele Würmer der Vergangenheit erfolgreich sein. Ein weiterer Vorteil von Linux ist sein modularer Aufbau: Eine bestimmte Systemkomponente hat nur eine Funktion, erfüllt diese dann aber durchgängig für jede Applikation.

Sicherheit im strengen Sinne gebe es trotzdem in keinem der gängigen Betriebssysteme, stellt Pescatore klar: “Weder in Linux noch in Windows noch in Unix.” Denn um als kommerzielles Produkt erfolgreich zu sein, müsse ein Betriebssystem zahlreiche Applikationen unterstützen, die von vielen verschiedenen Entwicklern geschrieben würden und die von noch viel mehr Anwendern mit sehr unterschiedlichem Wissensstand bedient werden können müssten.

Was inzwischen aber mit Linux möglich ist, haben kürzlich IBM und Suse demonstriert: Linux Enterprise Server 8 ist für IBMs e-Server als EAL 3+ zertifiziert worden: Alle sicherheitsrelevanten System-Ereignisse werden überwacht. Das Zertifikat unterliegt dem Common Criteria Controlled Access Protection Profile (CC CAPP), einer ISO-Norm. Dadurch kann die Linux-Distribution künftig in sicherheitskritischen Bereichen, beispielsweise in Verteidigungsministerien, eingesetzt werden. Windows 2000 Server (Service Pack 3) hat seit September 2002 eine Zertifizierung nach CC CAPP als EAL 3, manches Unix-Betriebssystem erfüllt sogar noch höhere Sicherheitsanforderungen.