Gefährlicher Geiz
- Jürgen Seeger
Linux- respektive Unix-Viren haben Seltenheitswert’ stellte ich im Mai 2000 in einem Artikel über Virenscanner fest, und diese Aussage blieb - zu Recht - unwidersprochen. Heute würde diese Aussage mindestens ein skeptisches Stirnrunzeln hervorrufen, bei vielen sogar heftigen Widerspruch. Der Apache-Worm Slapper? Der BIND-Exploit? Die Sicherheitslücke im SSH-Daemon? Alles Redmond-Propaganda?
Wohl kaum. Die Aberdeen Group hat Ende letzten Jahres eine Studie veröffentlicht, die Open-Source-Software als Spitzenreiter in Sachen Sicherheitslücken sieht. Die Autoren begründen dies mit einer Auswertung von CERT-Advisories, die sich in den ersten 10 Monaten des vergangenen Jahres 16-mal auf Open-Source-Software und nur 9-mal auf MS-Produkte bezögen.
Man kann diese Studie hinterfragen. Denn viele der eklatanten Lücken aus dem Microsoft-Umfeld tauchten (und tauchen) beim CERT nicht auf. Man kann auch feinsinnig über den Unterschied zwischen Viren und Trojanern debattieren. Oder die grundsätzliche Überlegenheit öffentlichen Quellcodes betonen, der - weil von Tausenden einsehbar - Schwächen, Backdoors, Lücken et cetera eher offenbart. Sich über die Reaktionsschnelligkeit der Open-Source-Community freuen, wenn es um das Beheben und Publizieren von Sicherheitslücken geht.
Klar bleibt aber: Die Zeit der Unschuld ist vorbei. Mag sein, dass ein Grund für den Seltenheitswert von Unix-Viren die eingeschränkte Verfügbarkeit dieses Betriebssystems für Hinz und Kunz war. Ein HP-UX oder Solaris auf einer RISC-Maschine lief eben nicht in jedem Wohnzimmer, der Zugang war Fachleuten aus dem universitären oder kommerziellen Umfeld vorbehalten. Das hat sich aber durch Linux (und das Internet) radikal geändert.
Warum auch immer - der Einsatz von Unix/Linux ist schon lange nicht mehr der allein selig machende Königsweg zur Sicherheit. Die Debatte um das sicherere Betriebssystem droht damit vom eigentlichen Problem abzulenken: Es hängen zu viele Systeme ‘out of the box’ am Internet, mit unüberprüften, unveränderten Herstellereinstellungen. Patches werden nicht oder zu spät eingespielt, Logfiles nicht analysiert, und und und. Egal, ob das Betriebssystem Windows, Linux oder Solaris heißt.
Oft ist der Grund dafür schlichte Unkenntnis seitens der Administratoren. Noch häufiger aber sind Kostendruck und Personalmangel in den IT-Abteilungen die tieferen Ursachen. Wenn die Manpower gerade reicht, um den Laden am Laufen zu halten, bleibt keine Zeit, sich um Sicherheitsfragen zu kümmern.
Wenn es um den Kauf eines neuen Fernsehers geht, mag Geiz geil sein. Bei der IT-Sicherheit wird Geiz schnell ziemlich ungeil.
In eigener Sache
Ab sofort bietet iX seinen Lesern zwei neue Service-Leistungen:
- Direktbestellung ohne Versandkosten: Wer iX nicht am Kiosk findet, kann sich die aktuelle Ausgabe frei Haus liefern lassen. Das Online-Formular ist unter www.heise.de/abo/ix/hefte.shtml zu finden.
- Das Inhaltsverzeichnis vorab per Mail: Wer sich unter www.heise.de/bin/newsletter/listinfo/ix-inhalt in die Mailingliste einträgt, erhält vor dem Erscheinen des Heftes das aktuelle Inhaltsverzeichnis - und kann es dann bei Interesse bestellen.
(js)
