Windows und Security: Der Fehler liegt im System

"Um das Jahr 2000 haben wir erkannt, dass wir große Sicherheitsprobleme haben", meinte ein hochrangiger Microsoft-Vertreter im Zuge der Einführung von Vista. "Und ein Konzern wie Microsoft braucht eben sieben Jahre, um grundsätzliche Kursänderungen vorzunehmen." Der Linux-Magazin-Reporter fragt nach: "So wie die Titanic und der Eisberg?" "Nein, wir bevorzugen die Vorstellung eines schlagkräftigen Flugzeugträgers, der einen langen Bremsweg hat."

Viren, Firewalls, Exploits

Aber erfahrene Admins wissen: Ein blankes Windows-System ist weit weg von einer solchen "schlagkräftigen" Kampfmaschine. In manchen Fällen reichen wenige Minuten online, und schon hat sich ein Trojaner oder Virus eingenistet. Vor allem in schlecht gepflegten Windows-Netzen kommt es immer wieder vor, dass der Virenscanner schon beim ersten Lauf direkt nach der Installation Malware vorfindet.

Das Zeitfenster von wenigen Minuten nach der automatischen Konfiguration über DHCP bis zum erfolgreichen Download des Virenscanners reicht häufig, um die Redmonder Systeme zu kompromittieren. Da steht der Linux-Admin fassungslos daneben und ist froh, dass er Virenschutz nur braucht, um angeschlossene Microsoft-Systeme zu schützen.

Linux-Systeme oder -Appliances übernehmen in den meisten Fällen auch die Arbeit, ein Windows-Netz vor ungewollten Verbindungen und Angreifern zu schützen. Zwar hat Microsoft seit Service Pack 2 die XP-Firewall standardmäßig aktiviert und sich damit zu Unrecht einigen Unmut in der Usability-verwöhnten Benutzer-Community eingefahren.

Trotzdem verwenden die Profis kommerzielle Firewall-Produkte anderer Hersteller. Das Microsoft-Tool kontrolliert nämlich keine ausgehenden Verbindungen. Der Linux-Admin dagegen unterbindet diese einfach mit »iptables -I OUTPUT -o eth0 -j DROP« und erlaubt danach nur den Zugriff auf den lokalen Proxy.

Auch die Lücken in den mit Windows gelieferten Programmen sind zahllos und füllen ganze Webseiten. Klar, gerade Firefox, aber auch Linux sind nicht vor Exploits gefeit. Dennoch: Allein der Internet Explorer, den immer noch zwei Drittel aller Windowsler nutzen, bietet eine Flut von Angriffspunkten für Hacker [1], von Outlook ganz zu schweigen.

Bei großen Installationen dagegen punktet Microsoft mit Active Directory, das LDAP-Kerberos-Server auf Wunsch auch mit einer PKI kombiniert. Das Gleiche unter Linux einzurichten gestaltet sich deutlich aufwändiger, manches ist ohne Eigenentwicklung gar nicht möglich.

Die einfache Installation bei Windows verbirgt dabei aber die komplexe Thematik vor dem Admin, inklusive aller Falltüren. Das ist gewollt, denn auch ITler mit geringerem Fachwissen sollen von den Redmonder Segnungen profitieren.

Transparenz und Awareness

Bei MS steht die Usability über der Security, während unter Linux traditionell Admins, aber auch Open-Source-Entwickler als sensibler gegenüber Sicherheitsproblemen gelten. Entwickler zum Beispiel müssen jeden Codebeitrag öffentlich rechtfertigen. So hat jeder Anwender zumindest theoretisch die Möglichkeit, auch über Codereviews Backdoors und Schadcode finden zu lassen. Sicherheitsexperten sind sich einig: Transparenz ist eine Grundvoraussetzung für ein sicheres Betriebssystem. Die kann aber nur Open-Source-Software bieten.