Marktforscher provoziert Zweifel an Linux-Sicherheit

Wie sicher ist Linux tatsächlich? Besser als die Resultate diverser Studien, meinen Open-Source-Experten – und zwar selbst dann, wenn die Studien schmeichelhaft ausfallen.

Wie sicher ist Linux tatsächlich? Selbst schmeichelhafte Studien wie die von Evans Data, die Linux-Systemen ein sehr hohes Maß an Sicherheit attestiert, können nach Ansicht von Open-Source-Experten Linux in einem schlechteren Licht darstellen als es das Betriebsystem verdient hätte. Schwammige Fragestellungen und ungenaue Begriffsdefinitionen könnten gar implizieren, Linux hätte ein Virusproblem.
Beispielsweise geht es darum, dass Evans Data Corporation 500 Linux-Entwickler zu ihren Erfahrungen mit Viren befragt hat und zum Schluss kommt, dass 8 Prozent der Linux-Anwender schon einmal mit einer Virusinfektion auf den Systemen zu kämpfen hätten. Selbst wenn das im Umkehrschluss eine virenfreie Anwenderschaft von 92 Prozent ergibt und so manchem Admin Tränen in die Augen treibt, muss die Linux-Gemeinde diese Feststellung zurechtrücken – sie ist nicht gut genug.

Ein Kommentator der Studie auf Newsforge.com gibt beispielsweise zu bedenken, dass bislang nur ein Virus ‘in the wild’ aktiv gewesen sei, der Linux-Systemen gefährlich werden konnte und seine Verbreitung schnell zuende gegangen sei: Der Virus ‘Bliss’ habe nicht genug Systeme befallen oder gar geschädigt, damit sich 8 Prozent der 500 von Evans Data befragten Nutzer, das wären 40 Linux-Profis, hätten zu den Bliss-Geschädigten zählen können, so das Gegenargument. Im Gegenteil: Linux-Anwender, die bereits mit schweren Virenattacken herkömmlicher Art oder Trojaner-Angriffen zu tun gehabt hätten, seien eine äußerst seltene Spezies.

Linux-Protagonist Alexander Bartolich versucht, generell etwas Licht in Sachen Umfragen zu bringen: “Das Problem beim Beantworten der Frage nach Viren unter Linux ist doch folgendes: Wer diese Frage stellt, kennt nur Betriebssysteme bei denen Viren, Trojaner, Würmer, ungezogene Java-Scripts, ActiveX-Controls mit zerstörerischen Payloads und ganz gewöhnliche bösartige Anwendungen eine ständige Gefahr für das Computing sind; deshalb denkt er gar nicht daran zu glauben, Linux könnte irgendwie anders sein, egal was er zu dem Thema hört. Aber dennoch ist es so.” Für ihn ist sonnenklar, dass Viren keinerlei Gefahr für Linux darstellen.

Der zweite Punkt, den die Marktforscher herausstreichen, betrifft das oft missverstandene Thema Hacking. Die Puristen unter den Linux-Freaks und selbst ernannte traditionelle Hacker wie beim Chaos Computer Club Berlin akzeptieren nicht, dass in den letzten Jahren eine Vermischung der Begriffe ‘Hacker’ und ‘Cracker’ stattgefunden hat. Bei ihnen gilt als Hacker ein ehrenhafter, teambegeisterter Computerfreak und Programmierer, während  der Cracker der eigentliche Virenschreiber, Netzwerkknacker, Datendieb und Kriminelle ist. Das Studienergebnis, dass 78 Prozent der von Evans Data befragten Linux-Anwender angegeben habe, noch nie gehackt worden zu sein, 22 Prozent schon gehackt worden seien und 7 Prozent gar drei und mehr Male gehackt worden seien, sei widersprüchlich und steht deshalb auf dem Prüfstand. Nach der Definition der traditionellen User kann sich schließlich ein Linux-System ohne solches ‘Hacking’, also leidenschaftliches Programmieren und Verändern, nicht weiter entwickeln.

Die Marktforscher lassen allerdings auch Anwender zu Wort kommen, die offenbar Schwierigkeiten gehabt haben, die in Newsforen als Stolpersteine schon lange anerkannt sind und entsprechend diskutiert werden – nicht deren Existenz steht in Frage, sondern wie die Linux-Gemeinde solche Fehler vermeidet. Hierbei handelt es sich zuvorderst darum, dass Sicherheits-Features nicht sorgfältig oder den Versionen gemäß aufgespielt, verwaltet und programmiert werden. Schlecht konfigurierte Security-Settings sind denn auch bei der Evans-Auswertung die am häufigsten genannte Möglichkeit, die Systeme lahm zu legen oder den Systemen ernsthaft zu schaden.

Dazu gehört nach Aussagen der Marktforscher Erik Orgell und Kelly Walsh, dass die Rechner nicht hinter einer Firewall platziert worden sind. Beispielsweise, so die beiden Studienautoren weiter, können aber auch die zuständigen Admins vergessen haben, die Firewall-Funktionen auf einem Server zu aktivieren, andererseits werde häufig die notwendige Konfiguration der Systeme nicht tüchtig betrieben. “Diese Statistik allein mag schon zeigen, dass es sich bei Linux um ein in Sicherheitsfragen überlegenes Betriebssystem handelt. Doch kein Betriebssystem ist sicher, wenn es schlecht konfiguriert ist; und wenn nun die meisten Linux-Cracks auftreten, weil das System ungenügend betreut wurde, so sind die meisten erfolgreichen Angriffe nicht etwas, was auf Linux abgeladen werden kann.”

In den zweitmeisten Fällen, so die beiden Marktforscher, hätten  sowieso nur die Internet-basierten Dienste ein Leck gehabt und nicht die darunter liegenden Linux-Systeme. Wenn Apache oder Mozilla einen Angriff wegen eines nicht gepatchten Lecks durchlassen und die darunter liegenden Systeme schlecht konfiguriert seien, so sei wiederum nicht Linux schuld. Dieser Auffassung können sich die Linux-Anwender in den internationalen Foren offenbar anschließen, die ansonsten den Analysten etwas mehr Sorgfalt ans Herz legen möchten.