Moderne Betriebssysteme unterstützen unterschiedliche Berechtigungen für Benutzer des Computers. Der grundlegende Sinn besteht darin, Administratoren von normalen Anwendern zu unterscheiden. Normalerweise sollte die tägliche Benutzung eines Computers mit einfachen Benutzerrechten erfolgen können. Lediglich für administrative Aufgaben, wie zum Beispiel Updates und Einrichtung des Systems und Installation neuer Software, sollten Administratorrechte benutzt werden.
Was nur Administratoren dürfen
Im Normalfall sollte nur ein Administrator vollen Zugriff auf das gesamte System haben. Denn wie heißt es so schön: Mit großer Macht kommt große Verantwortung. Unter Betriebssystemen wie Unix, BSD (z.B. MacOS) und Linux hat ein Administrator tatsächlich die volle Kontrolle über das System. Unter Linux ist es beispielsweise möglich, mit Administratorrechten auf der Befehlszeile mit nur einem recht einfachen Befehl die Festplatte vollständig und ohne Rückfrage zu löschen.
Die normalen Aufgaben eines Administrators umfassen Systemupdates, Einstellungen und die Installation und Deinstallation von Programmen. Diese Dinge sollte ein Anwender nicht erledigen müssen. Historisch war es unter Linux auch für einzelne Benutzer früher üblich, entsprechend getrennte Konten anzulegen und seine Aufgaben jeweils nur mit dem entsprechenden Konto zu erledigen. Mit dem Administrator-Konto arbeitete man üblicherweise an der Befehlszeile, wenn der Administrator es tatsächlich wagte, eine (als grundsätzlich unsicher geltende) grafische Umgebung zu starten, wurde ihm diese Unsicherheit deutlich angezeigt. Für normale Anwendungsaufgaben wechselte der Administrator zu einem normalen Anwenderkonto. Auf meinen ersten Linux-Systemen ab 2003 war diese Trennung noch vorhanden. Dort war es auch möglich, als Anwender immer dann kurz eine Aufgabe als Administrator zu erledigen, wenn es nötig war, indem man die entsprechenden Logindaten verwendete, auch ohne den Benutzer vollständig zu wechseln.
Dennoch ist es klar, dass insbesondere bei privat genutzten Systemen, bei denen die grafische Oberfläche Standard ist und jederzeit kleinere administrative Aufgaben wie die Installation eines Programms zum Testen anfallen können, eine vollständige Trennung dieser Rollen lästig sein kann. Neuere Linux-Distributionen für Anwender wie z.B. Mint und Ubuntu nutzen daher die Möglichkeit, einen normalen Benutzer mit zeitweisen Administratorrechten auszustatten: der eigentliche Administrator-Benutzer ist inaktiv, es gibt stattdessen (mindestens) einen Benutzer, der administrative Rechte durch Verwendung seines eigenen Passworts jeweils für eine Aufgabe anfordern kann, und möglicherweise weitere Benutzer, die diese Fähigkeit meist nicht haben. Dadurch, dass bei administrativen Aufgaben mindestens die Eingabe des Passworts erforderlich ist, ist eine Reflexbildung wie unter Windows (siehe unten) nicht möglich.
Die Situation unter Windows
Ein Großteil der Sicherheitsmisere unter Windows hat mit Benutzerrollen und -rechten zu tun. Benutzerrechte gibt es für Windows, wie es private Anwender benutzen, überhaupt erst seit Windows XP, also seit 2001. Das zuvor verwendete Dateisystem FAT, das übrigens bis heute bei USB-Sticks eingesetzt wird, war nicht dazu in der Lage, Informationen wie Besitzer und Gruppenzugehörigkeit zu einer Datei oder einem Verzeichnis zu speichern. Gemessen daran, dass alle anderen aktuellen Betriebssysteme auf Unix basieren, welches 1969 bereits als Mehrbenutzersystem mit Rechtetrennung konzipiert wurde, ist das eine verhältnismäßig kurze Zeit.
In Windows XP wurde das System leider unzureichend umgesetzt, Microsoft hat nie verstanden, Benutzern und Programmierern die Rechtetrennung nahezubringen. Als Resultat war es praktisch unmöglich, Windows XP ohne Administratorrechte zu benutzen. Seit Vista ist eine saubere Trennung von Benutzern mit Administratorrechten und ohne diese zwar möglich, wird aber in der Praxis aus Gewohnheit fast nirgends benutzt. Auch wenn es mehrere Benutzer eines Systems gibt, werden diese zumindest im privaten Bereich fast immer als Administratoren angelegt. Infolgedessen entmachtet Microsoft als Schadensbegrenzung den Administrator immer weiter, so dass er immer weniger Befugnisse im System besitzt.
Die Situation wäre aber vergleichbar mit der von Linux, wenn für administrative Aufgaben wenigstens jedes Mal das Passwort angefordert würde. Leider reicht jedoch immer ein schneller Druck auf OK. Und dieser erfolgt bei den weitaus meisten Benutzern reflexartig, ohne Meldungen zu lesen oder darüber nachzudenken, ob sie gerade überhaupt etwas Administratives vorhatten.
Die Folge ist, dass Schadsoftware unter Windows leichtes Spiel hat. Schadsoftware erreicht den Benutzer meist über E-Mails oder als Drive-By-Downloads auf Webseiten. Fast immer erfordert die Installation der Schadsoftware eine Interaktion mit dem Anwender, der die Installation im Prinzip mit Administratorrechten durchführen muss. Und das tut er in der Regel, weil er administrative Rückfragen immer aus Reflex bestätigt.
Eine aktuelle Zählung von Sicherheitslücken und -patches in Windows (in englischer Sprache) zieht den Schluss, dass die Zahl der Sicherheitslücken in diesem Betriebssystem dramatisch zunimmt. Dort wird aber auch angegeben, dass ca. 80% der Sicherheitslücken keine gefährliche Auswirkung hätten, wenn die Benutzer nicht mit administrativen Rechten unterwegs wären. Bei Lücken im Microsoft Browser (Internet Explorer oder Edge) seien es gar 95%, bei Office-Produkten 60%. Die Sicherheit eines Windows-Systems ließe sich also beträchtlich erhöhen, wenn man sich als Anwender bewusst dafür entscheiden würde, für die alltägliche Arbeit ein Benutzerkonto zu verwenden, das keine administrativen Aufgaben erfüllen kann.
Leider gibt es in Windows das Unding einer Systemberechtigung. Windowsprozesse sowie solche der Microsoft Browser und von Microsoft Office können unter Umständen Berechtigungen haben, die über das hinausgehen, was Microsoft einem Administrator noch zugesteht. Lücken in Systemprozessen sind daher besonders gefährlich. Dass ein Betriebssystem Berechtigungsstufen enthält, die über die Rechte eines Administrators hinausgehen, und die Officeprogrammen und Browsern zugänglich sind, ist eine Design-Dummheit, die ihresgleichen sucht.
Dennoch ist es empfehlenswert, für die tägliche Arbeit, insbesondere für jegliche Benutzung des Internets, einen Windows-Benutzer ohne administrative Rechte anzulegen (Standardbenutzer). Dies könnte einen Großteil der Gefahren des Internets wirkungsvoll stoppen.
Die Situation im Mobilbereich
Der relativ junge Bereich der mobilen Betriebssysteme, in erster Linie Android und iOS, verfolgt einen deutlich sichereren Ansatz der Rechtetrennung. Der Benutzer eines Smartphones oder Tablets hat in der Regel keine administrativen Rechte, dafür ist das System aber so eingerichtet, dass der Benutzer auch ohne solche Rechte Software installieren kann.
Solange man ein Android-Gerät nicht rootet bzw. ein iOS-Gerät nicht jailbreakt, wie die gewaltsame und nicht vorgesehene Einrichtung von administrativem Zugriff auf das System jeweils genannt wird, gibt es also auf Mobiltelefonen und Tablets keinen Administrator. Deshalb sind Angriffe auf diese Systeme auch vergleichsweise leicht abzuwehren und richten weniger Schaden an: zwar kann ein Anwender z.B. auf einem Android-Telefon einen Erpressungstrojaner installieren, aber dieser kann sich nicht ins System eingraben und tatsächlich Daten verschlüsseln: er kann nur den Eindruck erwecken, das Gerät sei nun unzugänglich, was jedoch für einen versierten Benutzer kein Problem darstellt. Solche Programme lassen sich in der Regel leicht wieder entfernen. Gefährlicher ist die Situation nur für bereits gerootete Geräte oder im Falle solcher Schadsoftware, die die Fähigkeit zum Rooten bestimmter Geräte bereits mitbringt und selbst benutzt.
Grundsätzlich ist das Sicherheitsniveau dieser Systeme deutlich höher als das von Windows. Vor allem aufgrund des Fehlens administrativer oder gar noch höherer Zugriffsberechtigungen kann Schadsoftware nur vergleichsweise geringen Schaden anrichten. Dadurch ist aber auch der Nutzen von Antivirensoftware auf solchen Systemen, welche unter Windows ebenfalls sehr tiefgehende Rechte erfordert und damit Fähigkeiten erlangen kann, die keine Software haben sollte, deutlich eingeschränkt: außer einem Vergleich vorhandener Programme mit bereits bekannter Schadsoftware ist praktisch nichts möglich. Das macht Antivirensoftware für Mobilgeräte weitestgehend sinnlos.
Benutzerrechte sind ein Sicherheitsgewinn
Fazit dieser Betrachtungen ist also, dass Benutzerrechte, sofern sie vernünftig eingerichtet wurden und alle Beteiligten sie verstehen, einen deutlichen Sicherheitsgewinn bringen. Unter den Mobilbetriebssystemen sowie unter Linux ist eine vernünftige Verwendung der Benutzerrechte Standard, Windows kommt leider mit schwachen und unzureichenden Standardeinstellungen daher und benötigt viel Aufmerksamkeit, um eine funktionsfähige Rechtetrennung umzusetzen.
Bitte geben Sie mir ein kleines Feedback!
War dieser Beitrag für Sie nützlich?
[thumbs-rating-buttons]
