Ich weise immer wieder gerne darauf hin, wie viel sicherer als Windows Linux ist. Es gibt nach wie vor keine reell in Verwendung befindliche Schadsoftware für Desktop-Rechner, die Linux einsetzen. Das heißt aber nicht, dass es keine Sicherheitsprobleme geben kann.
Kein Betriebssystem und kein Programm kann für sich in Anspruch nehmen, absolut sicher zu sein. Sicherheit ist immer relativ. Gerade in diesem Jahr sind zwei sehr schwerwiegende Sicherheitslücken entdeckt worden, die sich besonders auf Linux-Systeme auswirken. Die erste war vor einigen Monaten die „Heartbleed„-Lücke, die sich auf Fehler in der Kommunikation mit Webseiten unter SSL-Verschlüsselung (https) bezog, und jetzt gerade gibt es den „Shellshock“ – eine Angriffsmöglichkeit auf die beliebte Bash-Shell, die für die Ausführung von Programmen unter Linux verantwortlich ist.
Beide Sicherheitslücken sind gravierend und besonders für Server gefährlich – und sehr viele Webseiten liegen auf Linux-Servern, viele Firmen setzen Linux-Server ein. Aber vorbildlich ist, wie mit diesen Sicherheitslücken umgegangen wird. In beiden Fällen wurden sehr schnell Patches bereitgestellt, die von den verschiedenen Distributionen als Updates umgehend verteilt wurden. Der erste Patch für Shellshock war noch nicht perfekt, ein weiterer wurde ebenfalls schnell nachgereicht. Linux-Systeme, die unter verantwortungsvoller Wartung stehen, sollten damit schon jetzt wieder sicher sein. Das ist auch nötig, denn die Shellshock-Lücke wird bereits für Angriffe auf Server benutzt.
Linux-Sicherheitsprobleme sind selten genug, dass es sich lohnt, sich dafür einen coolen Namen wie Heartbleed oder Shellshock auszudenken.
Die Sicherheit eines Linux-Servers steht und fällt mit der Qualität der Administration. Ein verantwortungsbewusster Administrator hält sein System aktuell und spielt solche Patches sofort ein. Ein guter Webseiten-Hoster wird ebenfalls sein Möglichstes dafür tun.
Die Reaktionszeit bei gravierenden Sicherheitslücken ist von höchster Wichtigkeit. Shellshock betrifft nicht nur Linux, sondern praktisch alle Unixe und Unix-ähnlichen Systeme, wozu auch Apples OS X gehört. Auch OS X ist angreifbar; aber Apple hat sich bisher noch nicht einmal dazu geäußert, wann ein Patch zur Verfügung stehen wird.
Windows ist diesmal nicht betroffen. Aber auch dort treten Sicherheitslücken von ähnlicher Wichtigkeit auf, doch nur sehr selten reagiert Microsoft außerplanmäßig schnell. Und planmäßig, das heißt für Microsoft: am nächsten Patchtag. Patchtag ist einmal im Monat. Und wenn Microsoft nicht schnell genug reagieren kann, dann kann es auch schon mal bis zum übernächsten Patchtag dauern. Oder dem danach. An die Geschwindigkeit, mit der die Linux-Entwickler reagieren, kommt das bei weitem nicht heran.
Für Personen, die Linux als Desktop-System einsetzen, ist die Shellshock-Lücke übrigens kaum eine Gefahr, aber auch hier ist sie bei den gängigen Distributionen bereits gestopft.