Linux-Sicherheit im Rampenlicht

Wenden wir uns nun der Widerlegung von Paul Thurrotts Argument und einem Hinweis an all diejenigen zu, die versucht haben, die Zahlen der Sicherheitsmängel durch den Analyse-Fleischwolf zu drehen.

Thurrott behauptet, aufgrund der bloßen Rohzahlen der von BugTraq berechneten Sicherheitsmängel ergebe sich, dass Linux weniger sicher als Windows sei.

Thurrott sagt: „Teilt man diese Zahlen auf die einzelnen Linux-Distributionen auf (obwohl Windows 2000 und Windows NT zusammen betrachtet werden), ergibt sich, dass Win2K/NT im Jahr 2001 (die Daten gehen nur bis August 2001) 42 und die führende Linux-Distribution Red Hat 54 Sicherheitsmängel hatte. Im Jahr 2000 wies Win2K/NT 97 und Red Hat Linux 95 Mängel auf.“

Insgesamt gesehen mögen diese Zahlen korrekt sein. Ich zweifle sie nicht an. Sie scheinen leicht zu Windows‘ Gunsten auszufallen. Zu meinem größten Erstaunen hat allerdings keiner dieser Branchenbeobachter die grundlegende Verschiedenheit der Systemfunktionalität in Betracht gezogen, welche mit jeder Plattform ausgeliefert wird und die Grundlage für das Auftauchen von Sicherheitsmängeln bildet.

Ich untersuchte die mit Windows 2000 Server ausgelieferten, grob kategorisierten Funktionalitätspakete unter der Annahme, Windows 2000 Server sei ein angemessenes Superset einer allgemein verfügbaren Microsoft-Plattform. Ich zählte ungefähr 120 Subsysteme in Windows 2000 Server. Dazu gehören Internet Information Services Web Server, Active Server Pages (ASP) Programming Environment, XML Parser und so weiter. Zum Vergleich untersuchte ich schnell eine Liste der mit einer modernen Linux-Distribution ausgelieferten Subsysteme. SuSe hat gerade eine solche Liste für seine Version 7.3 Professional veröffentlicht, also verwendete ich diese Liste zur Darstellung der Linux-Seite dieser Gleichung.

Das Ergebnis? Das Linux-System brachte knapp unter 2.600 Pakete mit. Das bedeutet, dass eine moderne Linux-Distribution, basierend auf dieser einfachen Analyse, mit etwa 20mal mehr Funktionalität ausgeliefert wird, als Microsoft mit Windows 2000 Server liefert. Dies ist nur eine annähernde Berechnung der Funktionalität. Aufgrund der mehreren Hundert Millionen Zeilen Quellcode, die diese Plattformen enthalten, wäre eine sehr viel tiefer gehende Analyse undurchführbar. Führt man eine schnelle und ungenaue Berechnung auf der Grundlage dieser neuen Information durch, kann Linux, auf der Grundlage der einzelnen Funktionalität, als 20mal sicherer als Windows betrachtet werden. Das bedeutet, dass Linux zwar mit 20mal so viel Material ausgeliefert wird, aber in etwa die selbe Anzahl von Sicherheitswarnungen wie Windows veröffentlicht.

Auch wenn ich hier mein eigenes Zahlenspiel spiele, geht es nicht darum, um die Statistik hinter der Untersuchung zu streiten. Für unsere Branche ist es wichtig, dass die Sicherheit einen der vordersten Plätze im Bewusstsein der Designer und Programmierer einnimmt. Jede Organisation, Gemeinschaft oder jeder Hersteller, der auf glaubwürdige Weise versucht, dies zu erreichen, sollte unterstützt werden. Was aber auf jeden Fall nicht verziehen werden sollte, sind Versuche von Organisationen oder Herstellern, diesen Ansatz in erster Linie als zynische Marketingstrategie zu missbrauchen, ohne irgendwelche Ergebnisse zu liefern.

Con Zymaris ist CEO von Cybersource, einem seit vielen Jahren bestehenden australischen Unternehmen für IT & Internet Professional Services.