In einem Interview mit CNet meinte Raimund Genes, CTO bei Trend Micro , dass Open Source-Software wesentlich sicherer als proprietäre Produkte, wie etwas Microsoft Windows wäre.

"Es ist so - Punkt"

"Es ist so, Open Source ist einfach sicherer - Punkt," so Raimund Genes, "mehr Leute haben Einblick in die Codebasis, diese können umgehend auf Lücken reagieren und Open Source hat aufgrund unterschiedlicher Distributionen nicht so viele Probleme mit den auftretenden Sicherheitsbedrohungen."

Ein Kernel

Ein Grund für die geringere Anzahl von Sicherheitsproblemen sei, laut Genes, dass es mehrere unterschiedliche Linux-Distributionen gäbe. Obwohl alle denselben Kernel nutzen würden, bedeute eine Sicherheitslücke für eine Distribution nicht, dass dadurch auch andere betroffen seien. Auch würden Open Source-EntwicklerInnen "offen über Sicherheitsthemen reden" und damit wären "Updates umgehend verfügbar", während Anbieter propretärer Software alleine nur auf ihre eigenen Ressourcen setzen könnten, wenn sie Patches herausbringen müssen.

Sicherheit aus der Box

Aber, so Genes weiter, bei Linux Servern sei es die Aufgabe der AdministratorInnen die größtmögliche Sicherheit herzustellen. Hier müssten die vorab definierten Sicherheitseinstellungen entsprechend geändert werden, um echte Sicherheit zu erhalten. Mark Cox vom Securityresponse-Team bei Red Hat bestätigte die Aussagen von Genes: die Linuxcommunity teile ihre Erfahrungen und ihr Wissen in Sicherheitsfragen, aber er meinte es sei falsch zu behaupten, dass Linux-Distributionen nicht schon "Out of the Box" sicher seien. "Red Hat kommt out of the box mit SELinux, einer Firewall...Sicherheit ist von Beginn an dabei, aber es ist natürlich möglich diese noch weiter zu stärken".

Auf das Design kommt es an

Für Cox spielt allerdings die Frage, ob Open Source a priori sicherer sei, als proprietäre Software nicht eine wesentlich Rolle in der Frage "Sicherheit". "Es macht keinen Unterschied, ob Open Source oder proprietär, die Kernfrage ist, ob die Entwickler beim Design der Software das Thema Sicherheit im Kopf hatten. Vor zehn Jahren wurde Apache entwickelt, um Bufferoverflows zu verhindern und war erfolgreich. Es ist schwerer einen Wurm für Linux zu schreiben weil nicht so viele Sicherheitslücken gefunden wurden, und jene, die entdeckt wurden, sind aufgrund unterschiedlicher Distributionen schwerer auszunutzen".

Nicht träge werden

Cox warnte die Community allerdings davor, die heutigen Resultate als Fixpunkte für die Zukunft zu sehen. Es gehe nur mit einer stetigen Weiterentwicklung, einer Transparenz und einer schnellen Reaktion auf Sicherheitslücken.

Für Genes von Trend Micro hat Microsoft bei Windows Vista endlich begonnen das Thema Sicherheit in den Entwicklungsprozess zu integrieren, etwa in der Frage der Administratorrechte. "Microsoft ist auf dem richtigen Weg. Nun kommt auch endlich die Access Control, die schon bei Unix eingeführt wurde. Niemand denkt daran, Unix mit Rootrechten auszuführen", so Genes.(red)