Studie von Linux-Fan: Windows ist sicherer
Zwei Forscher, einer davon Linux- der andere Windows-Fan, haben auf der Sicherheitskonferenz RSA Conference in San Francisco eine Studie darüber vorgestellt, welches System denn nun sicherer sei.
Zwei Forscher, einer davon ein eingefleischter Linux-Fan, haben auf der Sicherheitskonferenz "RSA Conference" eine Studie vorgelegt, die erneut Zündstoff in die Diskussion bringt, welche Plattform denn nun sicherer ist: Windows oder Linux.
Auf der RSA Conference (14-18.2 in San Francisco) wurde eine Vorschau der Studie laut einem Bericht der Zeitung "The Seattle Times" auf dem Event "Security Showdown: Windows vs. Linux" gezeigt. Die vollständige Studie soll innerhalb der nächsten 30 Tage veröffentlicht werden.
Die Studie legten die beiden Sicherheitsspezialisten Richard Ford und Herbert Thompson vor. Ford ist eingefleischter Linux-Fan, hat einen eigenen Linux-Server im Keller und arbeitet als "Computer Science"-Professor am Florida Institute of Technology. Herbert Thompson ist dagegen Anhänger von Windows und bei einem Unternehmen als Direktor für Sicherheitsforschung beschäftigt, das Technologien und Sicherheitsdienste anbietet.
Die Studie legten die beiden Sicherheitsspezialisten Richard Ford und Herbert Thompson vor. Ford ist eingefleischter Linux-Fan, hat einen eigenen Linux-Server im Keller und arbeitet als "Computer Science"-Professor am Florida Institute of Technology. Herbert Thompson ist dagegen Anhänger von Windows und bei einem Unternehmen als Direktor für Sicherheitsforschung beschäftigt, das Technologien und Sicherheitsdienste anbietet.
Seit Jahren schon führen die Linux- und Windows-Anhänger eine emotional geführte Diskussion darüber, welches System nun sicherer ist. Weil das ganze schon religiöse Züge annimmt, wollten die beiden Forscher dem Thema auf den Grund gehen. "Es gibt viele Spekulationen im Web, in den Newsgroups und von diversen Sprechern hier auf der RSA. Wir brauchen reale, solide Fakten", sagte Thompson. Und diese wollte er zusammen mit Ford liefern.
Sie verglichen dazu Windows Server 2003 und Red Hat Enterprise Server 3. Auf den entsprechenden Systemen ließen sie Datenbanken, Scripting-Engines und Web-Server (von Microsoft beziehungsweise Apache) laufen. Beim Thema Sicherheit berücksichtigten sie die Zahl der gemeldeten Sicherheitslücken und deren Schweregrad. Außerdem wurde mitgerechnet, wie viele Patches jeweils erschienen und wie viele Tage die Maschinen durch eine Sicherheitslücke gefährdet waren, bevor der dazu passende Patch erschien.
In ihrer Studie kamen sie dann zu einem Ergebnis, dass selbst den Linux-Fan Richard Ford überraschte. Das Windows-System war im Schnitt 30 Tage lang schutzlos einer Sicherheitslücke ausgeliefert. Das Linux-System brachte es dagegen auf insgesamt 71 Tage.
Auf der RSA Conference wurde das Ergebnis der Studie heftig diskutiert. Unter anderem wurde kritisiert, dass die beiden Forscher die Systeme nur in einer Basis-Konfiguration installiert hätten, die in der Praxis nicht üblich sei. Hier sei klar, dass Windows dann besser abschneide weil es mit mehr Features käme.
Die Forscher wiederum konterten damit, dass sie davon ausgegangen seien, was die System-Administratoren im Durchschnitt täten, wenn sie ein neues System aufsetzen. Es sei nicht ihr Ziel gewesen, einen "Zauberer" zu imitieren, der der ein Linux-System aufsetzt und dann auch noch alle Extraschritte tätigt, um das Linux-System sicherer zu machen.
