Ist Linux sicherer?

In der allgemeinen Wahrnehmung gilt Linux als sicherer als Windows. Dies mag insoweit stimmen, als es für Linux und andere Unix-Derivate weniger Malware gibt als für Windows. Außerdem unterscheiden Linux- und Unix-Varianten meist konsequent zwischen Anwender- und Administrationskonten sowie User- und Kernelspace und laufen im Regelfall nicht standardmäßig im Administratormodus. Diese Vorzüge des Open-Source-Betriebssystems reduzieren generell die Verletzlichkeit für ein paar gängige Angriffsvektoren. Vor allem für solche, die arglosen Nutzern der Microsoft-Betriebssysteme das Leben schwer machen. Das gilt umso mehr, wenn Systeme aus der Zeit vor Vista im Spiel sind.

Unglücklicherweise geht die Bedeutung dieser Vektoren zurück. Wer die Folgen dieser Entwicklung einschätzen will, muss zwei Einsatzmodi von Linux betrachten: Der Pinguin in der Hand von erfahrenen Fachleuten oder Power-Usern einerseits, andererseits Linux als Arbeitsplatzsystem in Organisationen, die ihren Mitarbeitern das System einfach per Migrationsverordnung überstülpen.

Solche reinen Anwender wollen sich mit ihren Computern nur so intensiv auseinandersetzen, wie sie es vielleicht auch mit ihren Autos, Fahrrädern und Kaffeemaschinen tun. Es ist ihnen nicht zu verübeln, wenn sie IT nicht im Detail zu verstehen versuchen, sie müssen auf anderen Gebieten Profis sein.

Linux macht sie zwar auf jeden Fall etwas weniger verwundbar als die Windows-User, aber mit dem Rest der Bedrohungen kämpfen sie genauso wie jeder Benutzer anderer Betriebssysteme auch: Sie plaudern unbedacht Informationen aus, schreiben Kennwörter auf, verlieren Notebooks und USB-Sticks in U-Bahnen, fallen Phishing-Attacken zum Opfer und geben zu viele Informationen weiter, weil ihre Anwendungen die Selektion zu schwierig machen oder weil der Zeitdruck alle Regeln für Sicherheit im Betrieb ad absurdum führt.

Dort, wo die Technik überhaupt im Spiel ist, bringt Linux nicht mehr als ein gut eingestelltes Windows-System. Ein Power-User wiederum mag sein System in Eigenregie gegen technische Attacken abgeschottet haben, aber auch er ist als Mensch verwundbar. Psychologen – wie etwa Werner Degenhardt von der Universität München, Dozent und zugleich CIO seines Departments und Identitätsmanagement-Spezialist – meinen sogar, bei dieser Personengruppe schlage vermehrt der "Control Bias" zu Buche: jene fest verdrahtete menschliche Einschätzung, die eine Person annehmen lässt, alles werde gut, solange sie nur selbst am Steuerknüppel sitze oder die Fäden in der Hand halte [6] .

Control Bias

Im richtigen Leben fahren Menschen unbesorgt 100 Kilometer im Auto zum Flughafen und sitzen dann zitternd im Flieger, obwohl jede Statistik ihnen sagt, dass sie den gefährlichsten Teil ihrer Reise schon überstanden haben – ein skurriles Phänomen, auf das auch der US-Security-Guru Bruce Schneier in seinem Blog regelmäßig hinweist [7] .

Power-User halten sich in besonderem Maße für souveräne Herrscher über ihre IT-Infrastruktur und über die Gefahren des Web und probieren gerade deshalb gern einmal Tricks und Webseiten aus, die sie anderen Anwendern strickt verbieten. Ihr einziger Vorteil ist dann, dass sie technische Probleme, die aus mangelnder Vorsicht resultieren, in der Regel schneller wieder beseitigen können als die Durchschnittsanwender.

Den Social-Engineering-Profis aber gehen Linux-Fans genau so leicht auf den Leim wie alle anderen Opfer. Etwa dann, wenn die Manipulatoren auch als Linux-Spezialisten auftreten und Fachjargon einsetzen, um Vertrauen zu wecken.

Aus Sicht von IT-Profis ist das Risikoverhalten von Anwendern am PC oft unverständlich und erscheint dumm oder verantwortungslos. Spezialisten vergessen aber leicht, dass sie sich im Laufe ihrer Karriere über ihr Wissen und durch permanente Auseinandersetzung mit der Materie ein besonderes Gefühl für ungewöhnliches Verhalten von IT-Systemen und für die Auswirkungen schädlicher Prozesse erarbeitet haben. Für Außenstehende erscheint ihr Verständnis der Materie so magisch und unerreichbar wie die Fähigkeit eines Automechanikers, Motorprobleme allein aufgrund der Geräusche des Fahrzeugs zu erkennen.