Watschen für Forresters Sicherheitsstudie

Linux ist nicht unbedingt sicherer als Windows, stellten die Marktforscher von Forrester Research in einer Studie fest.

Linux ist nicht unbedingt sicherer als Windows, stellten die Marktforscher von Forrester Research in einer Studie fest. Gegen dieses Ergebnis schreiten jetzt die Großen der Linux-Szene mit einer gemeinsamen Erklärung zu Felde. Die Forrester-Analysten hätten bei ihrer Untersuchung nicht unterschieden, wie schwerwiegend eine Sicherheitslücke im Betriebssystem sei, heißt es in der gemeinsamen Erklärung von Red Hat, Suse, Debian und Mandrake Soft.
Forrester aber behauptet gerade, dass die Untersuchung mit dem Titel ‘Is Linux more secure than Windows?’ eine qualitative und keine quantitative Wertung abgibt. “Daher sind die Schlussfolgerungen, die durch Forrester gezogen werden, von nur geringem praktischen Wert für Kunden, die einschätzen wollen, wie schnell schwerwiegende Verwundbarkeiten behoben werden”, sagen die Linux-Distributoren.

Die Linux-Anbieter seien von Forrester um Mithilfe für die Verfeinerung von Rohdaten angegangen worden. Doch seien die von den Unternehmen und Entwickler-Gemeinschaften zur Verfügung gestellten Daten nur zum Teil in die Ergebnisse der Untersuchung mit eingeflossen und es sei zu falschen Schlussfolgerungen gekommen.

Forrester habe unter anderem geprüft, wie viele Tage die Bereitstellung eines Patches dauerte. Die Marktforscher folgerten aufgrund der Daten, dass Linux größeren Sicherheitsrisiken ausgesetzt sei als Windows. Die Begründung: Sicherheitspatches aus der Open-Source-Community ließen im Durchschnitt länger auf sich warten. Die Tatsache, dass Microsoft auch bei äußerst kritischen Sicherheitslücken oft ein halbes Jahr für die Veröffentlichung von Fixes braucht, wie das Beispiel des ‘Spoofing-Flaws’ im Internet Explorer gezeigt hat, wurde von Forrester nicht berücksichtigt. 

“Unsere Sicherheitsteams und angesehene, auf Sicherheit spezialisierte Organisationen (wie CERT/DHS, BSI, NIST, NISCC) tauschen Informationen aus und kooperieren bei der Beurteilung und Behebung von Schwachstellen”, so die Linux-Anbieter. Anhand dieser Daten würden dann die Fehler, gestaffelt nach Wichtigkeit, behoben.

So könne auf manches Sicherheitsrisiko schon nach wenigen Stunden mit einem entsprechendem Patch reagiert werden. Forrester versuche in dem Report das Bild zu verzerren, in dem diese Tatsachen nicht zur Bewertung herangezogen würden.