Einige Mängel müssen noch behoben werden

Linux holt in Sachen Sicherheit zusehends auf

15.03.2002
MÜNCHEN (ave) - Mit der steigenden Popularität von Linux in Unternehmen wachsen auch Bedenken bezüglich der Sicherheit dieser Plattform. Obwohl Experten Linux generell für genauso sicher wie andere Betriebssysteme halten, gibt es doch Schwachstellen.

Die Fangemeinde von Linux wächst unaufhaltsam: Marktbeobachter wie die Techconsult GmbH, Kassel, rechnen sogar damit, dass 2002 für die Open-Source-Plattform "das Jahr des Durchbruchs" wird. Bei einer Befragung von rund 270 Unternehmen im vergangenen Jahr ermittelte Techconsult, dass diese Linux im Durchschnitt bereits auf 28 Prozent ihrer Server einsetzen. Diese Zahl soll mittelfristig auf 37 Prozent steigen.

Doc Shankar, Senior Engineer am Linux Technology Center von IBM, geht sogar noch einen Schritt weiter. Der Spezialist vertritt die Meinung, die Bedeutung von Linux für Anwendungen lasse sich nur mit der von TCP/IP und dem Internet für die Netzwerktechnik vergleichen. Angesichts solch hoher Erwartungen stellt sich die Frage, ob Linux für den Einsatz in unternehmenskritischen Szenarien überhaupt sicher genug ist.

Shankar glaubt, das Open-Source-Prinzip als solches trage bereits zu einer höheren Sicherheit des Betriebssystems bei. "Ein Programmierer, der weiß, dass die ganze Community seinen Code begutachte, wird bei der Entwicklung viel sorgfältiger sein als jemand, bei dem das nicht der Fall ist", argumentiert der IBM-Mann. Ernst Kelting, Vice President Marketing und Sales bei der Astaro AG, die eine Open-Source-Security-Lösung auf Linux-Basis entwickelt hat, stimmt dem zu. Wenn der Code von der ganzen Community "quergelesen" werde, sei es viel wahrscheinlicher, dass Programmierfehler entdeckt und behoben werden könnten. "Auf diese Weise findet eine effektive Qualitätssicherung statt", erklärt der Manager.

Shankar ergänzt: "Kein einzelnes Unternehmen, nicht einmal Microsoft, könnte diese Leistung erbringen." Der Linux-Spezialist warnt allerdings vor übertriebenen Erwartungen: "Nur weil es Open Source ist, heißt das noch lange nicht, dass jeder Fehler entdeckt wird." Auch mit quelloffenen Lösungen lasse sich kein hundertprozentiger Schutz erreichen. Linux brauche aber, was die Sicherheit betrifft, den Vergleich mit keinem anderen Betriebssystem zu scheuen.

Als klaren Pluspunkt in puncto Sicherheit sieht der Experte die Tatsache, dass Security-Funktionen unter Linux nicht direkt in den System-Kernel integriert, sondern in Form von Loadable Security Modules (LSMs) hinzugefügt werden. Dadurch werde der Betriebssystem-Kern nicht unnötig aufgeblasen, was eine Gefahr für die Systemstabilität darstelle. Weiterer Vorteil der LSMs: Neue Sicherheitsfunktionen können schneller zur Verfügung gestellt werden, als wenn sie erst in den Kernel integriert werden müssten.

Zu den im Hinblick auf Sicherheit noch kritischen Punkten zählt nach Meinung von Experten die momentan noch nicht vorhandene Möglichkeit, eine übergreifende Security-Policy durchzusetzen. Typische Linux-Server verfügen über eine Vielzahl von einzelnen Konfigurationsdateien, die über das gesamte Dateisystem verteilt sind und die der Administrator einzeln konfigurieren muss. Wenn hierbei Fehler unterlaufen, kann das die Sicherheit des gesamten Systems gefährden.

Doch selbst wenn alle Einstellungen korrekt sind, droht Gefahr in Form von neuen Anwendungen oder Patches, die auf das System aufgespielt werden. Dabei kann es nämlich vorkommen, dass Konfigurationsdateien ohne Kenntnis des Administrators geändert oder überschrieben werden. Auf diese Weise können Verzeichnisse oder Dateien, die für den allgemeinen Zugriff gesperrt waren, plötzlich wieder freigeschaltet sein. IBM sieht hier "deutlichen Raum für Verbesserungen". Gefragt sind Tools, die dem Administrator das übergreifende Management der Sicherheitseinstellungen seiner Linux-Server ermöglichen.

Ein weiteres Manko sieht Shankar im Hinblick auf das Überwachen, Erfassen und Auswerten von Systemereignissen unter Linux (allgemein auch als Auditing bezeichnet). Während kommerziell verfügbare Lösungen wie Windows NT oder Solaris dem Administrator hierfür von Haus aus Möglichkeiten bieten, gebe es bei Linux noch Nachholbedarf.

Schwachpunkt AuditingMit der Lösung des Auditing-Problems befasst sich auch die Intersect Alliance (www.intersectalliance.com). Mit "Snare" (System Intrusion Analysis and Reporting Environment) hat sie ein Open-Source-Tool entwickelt, das den Prozess der Systemkonfiguration erleichtern und dem Anwender aussagekräftige Reporting-Funktionen zur Verfügung stellen soll. Außerdem wird dadurch der Einsatz von Host-basierenden Intrusion-Detection-Systemen (IDS) erleichtert. Mit der Verfügbarkeit von Snare, so die Intersect Alliance, entfalle ein besonders von Behörden und Großunternehmen häufig geäußerter Grund, statt Linux ein kommerzielles System wie NT einzusetzen.

Das zeigt die Absicht der Linux-Community, die derzeit noch vorhandenen Sicherheitsschwachstellen zu beheben. Linux hat also auch unter Security-Gesichtspunkten durchaus das Zeug, seine Position innnerhalb der Unternehmens-IT auszubauen. (ave)