Security in Betriebssystemen

Ramen, Slapper, Scalper und Mighty sind alles Bezeichnungen von Würmern, die in den letzten Monaten Linux-Server befallen haben. Linux-Enthusiasten, die einst daran glaubten sie seien weniger anfällig für Attacken als ihre Microsoft-Kollegen, beginnen sich nun zu fragen, ob ihr Optimismus etwas übereilt war.

Laut Eric Hemmendinger, Leiter der Forschungsabteilung der Aberdeen Group, ist es falsch, vorauszusetzen ein Betriebssystem sei von Natur aus gefährdeter als ein anderes. Die Zahl der Sicherheitslücken hänge vor allem vom Alter der Software ab.

Mainframe-Betriebssysteme fast ohne Lücken
Mainframe-Betriebssysteme, die über Jahrzehnte hinweg perfektioniert wurden, weisen nur sehr wenige Sicherheitslücken auf. Falls doch welche auftreten, wurden sie meist durch einen Fehler des Administrators verursacht. Auch Unix, das seit 1970 weit verbreitet ist, ist inzwischen ebenfalls von den meisten seiner Bugs befreit.

Eric Hemmendinger

Je neuer das OS, desto riskanter der Einsatz?

Neuere Umgebungen wie Windows oder Linux haben meist mehr Sicherheitslücken. Die große Anzahl an Windows-Problem kommt ans Licht, einerseits wegen des Alters und andererseits wegen der Anzahl der Leute, die Windows verwenden.

Linux, das noch jünger als Windows ist und nicht von einer einzelnen kommerziellen Einheit kontrolliert wird, wird den Erwartungen nach noch mehr Sicherheitslücken als Windows aufweisen. "Ich sehe da noch wesentlich mehr Linux-Probleme auf BugTraq auf uns zu kommen, als es bei Unix oder Windows der Fall war," sagt Hemmendinger.

Michael Rasmussen, Leiter der Security-Abteilung der Giga Information Group stimmt dem zu. "Ich persönlich finde, dass die Open-Source-Community die besseren Argumente hat, auch wenn vielleicht insgesamt über mehr Lücken berichtet wird. Der Unterschied ist, nur weil die meisten Leute bei Closed-Source-Systemen nicht wissen, dass da Sicherheitslöcher sind, heisst das nicht, dass sie nicht existieren."

Die 20 meistgenutzten Sicherheitslücken
Das National Infrastructure Protection Center [NIPC] des FBI hat zusammen mit dem "SysAdmin, Audit, Networking and Security Institut" [SANS] die Liste der 20 am häufigsten ausgenutzten Sicherheitslücken für das Jahr 2002 veröffentlicht. Das FBI will mit der Liste überforderten Systemadministratoren Anhaltspunkte geben, welche der vielen Sicherheitsprobleme als erste gelöst werden müssen.

FBI veröffentlicht Liste für Systemadministratoren

"Wurde viel in Richtung Sicherheit getan"

Sowohl Microsoft als auch die verschiedenen Linux-Distributoren versuchen kritische Lücken zu stopfen, sobald sie entdeckt werden.

Microsoft hat nach Kundenbeschwerden eine große Security-Initiative auf die Beine gestellt, während die Bemühungen bei Linux, laut Hemmendinger "weniger diszipliniert, aber dafür rechtzeitig" ablaufen.

"Die guten Nachrichten sind, dass in den letzten sechs Monaten viel in Richtung Sicherheit getan wurde und sich sowohl immer mehr User als auch Anbieter bewusst sind, wie wichtig Security-Patches sind," sagt Hemmendinger. "Installiert man immer die neuesten Patches ist man zwar nicht immun, aber man kann sich sicher sein, dass eine Sicherheitslücke, die vor einem Jahr entdeckt wurde, einem längst keinen Schaden mehr zufügen kann."

Organisation for Internet Security gegründet
Die Ende September gegründete Organisation for Internet Security [OIS] will eine Richtlinie für die Bekanntmachung von Sicherheitslücken erstellen. Entdeckt jemand ein Sicherheitsproblem in einem Programm, soll er den Hersteller informieren müssen. Dieser hat dann sieben Tage Zeit, zu antworten. Erst nach 30 Tagen darf der Entdecker die Öffentlichkeit über das Sicherheitsproblem informieren. Zu den Gründungsmitgliedern der OIS zählen klingende Namen wie Microsoft, Caldera, Network Associates, Oracle, SGI und Symantec.

Schweigepflicht bei Sicherheitslücken