Unternehmen investieren viel Zeit, Mühe und Geld in die Sicherheit ihrer Systeme. Die sicherheitsbewusstesten haben vielleicht ein Security Operations Center. Natürlich verwenden sie Firewalls und Antivirenprogramme. Wahrscheinlich verbringen sie viel Zeit mit der Überwachung ihrer Netzwerke, um nach verräterischen Anomalien zu suchen, die auf einen Verstoß hinweisen könnten. Mit IDS, SIEM und NGFWs setzen sie ein wahres Alphabet an Abwehrmaßnahmen ein.
Aber wie viele haben schon einmal über einen der Eckpfeiler ihrer digitalen Abläufe nachgedacht: die auf den PCs der Mitarbeiter installierten Betriebssysteme? War die Sicherheit überhaupt ein Faktor bei der Auswahl des Desktop-Betriebssystems?
Dies wirft eine Frage auf, die jeder IT-Mitarbeiter beantworten können sollte: Welches Betriebssystem ist das sicherste für den allgemeinen Einsatz?
Wir haben einige Experten gefragt, was sie von der Sicherheit der drei zur Auswahl stehenden Systeme halten: Windows, die immer komplexer werdende Plattform, die mit Abstand das beliebteste Desktop-System ist; macOS X, das auf FreeBSD basierende Unix-Betriebssystem, das die Macintosh-Systeme von Apple antreibt; und Linux, womit wir alle verschiedenen Linux-Distributionen und verwandte Unix-basierte Systeme meinen.
Wie wir hierher gekommen sind
Ein Grund, warum Unternehmen die Sicherheit des Betriebssystems, das sie ihren Mitarbeitern zur Verfügung stellen, möglicherweise nicht bewertet haben, ist, dass sie die Wahl vor Jahren getroffen haben. Wenn man weit genug zurückgeht, waren alle Betriebssysteme einigermaßen sicher, denn die Möglichkeit, sie zu hacken und Daten zu stehlen oder Malware zu installieren, steckte noch in den Kinderschuhen. Und wenn man sich einmal für ein Betriebssystem entschieden hat, ist es schwer, einen Wechsel zu erwägen. Nur wenige IT-Organisationen möchten sich die Mühe machen, eine weltweit verstreute Belegschaft auf ein völlig neues Betriebssystem umzustellen. Schließlich gibt es schon genug Widerstand, wenn sie Benutzer auf eine neue Version des Betriebssystems ihrer Wahl umstellen.
Wäre es dennoch ratsam, die Entscheidung zu überdenken? Unterscheiden sich die drei führenden Desktop-Betriebssysteme in ihrem Sicherheitsansatz so sehr, dass sich ein Wechsel lohnt?
Die Bedrohungen für Unternehmenssysteme haben sich in den letzten Jahren zweifellos verändert. Die Angriffe sind viel raffinierter geworden. Der einsame jugendliche Hacker, der einst die öffentliche Vorstellung beherrschte, wurde durch gut organisierte Netzwerke von Kriminellen und schattenhaften, von der Regierung finanzierten Organisationen mit riesigen Computerressourcen verdrängt.
Wie viele von Ihnen habe ich aus erster Hand erfahren, welche Bedrohungen es da draußen gibt: Ich wurde auf zahlreichen Windows-Computern mit Malware und Viren infiziert, und ich hatte sogar Makroviren, die Dateien auf meinem Mac infizierten. Kürzlich umging ein weit verbreiteter automatischer Hack die Sicherheitsvorkehrungen auf meiner Website und infizierte sie mit Malware. Die Auswirkungen solcher Malware waren anfangs immer unauffällig, etwas, das man gar nicht bemerkte, bis die Malware schließlich so tief im System verankert war, dass die Leistung merklich zu leiden begann. Auffallend war, dass die Schädlinge nie gezielt auf mich abzielten. Heutzutage ist es genauso einfach, 100.000 Computer mit einem Botnetz anzugreifen wie ein Dutzend.
Ist das Betriebssystem wirklich wichtig?
Das Betriebssystem, das Sie Ihren Benutzern zur Verfügung stellen, hat zwar einen Einfluss auf Ihre Sicherheitslage, ist aber kein sicherer Schutz. Zum einen ist es heutzutage wahrscheinlicher, dass ein Angreifer Ihre Benutzer und nicht Ihre Systeme ausspioniert hat. Eine Umfrage unter Hackern, die kürzlich an der DEFCON-Konferenz teilnahmen, ergab, dass 84 Prozent Social Engineering als Teil ihrer Angriffsstrategie einsetzen. Der Einsatz eines sicheren Betriebssystems ist ein wichtiger Ausgangspunkt, aber ohne die Schulung der Benutzer, starke Firewalls und ständige Wachsamkeit können selbst die sichersten Netzwerke angegriffen werden. Und natürlich besteht immer das Risiko, dass vom Benutzer heruntergeladene Software, Erweiterungen, Dienstprogramme, Plug-ins und andere Software, die harmlos erscheint, zu einem Weg für Malware auf dem System wird.
Und ganz gleich, für welche Plattform Sie sich entscheiden, eine der besten Möglichkeiten, Ihr System sicher zu halten, besteht darin, dafür zu sorgen, dass Sie Software-Updates zeitnah anwenden. Sobald ein Patch in Umlauf ist, können Hacker ihn zurückentwickeln und eine neue Schwachstelle finden, die sie in ihrer nächsten Angriffswelle nutzen können.
Und vergessen Sie nicht die Grundlagen. Verwenden Sie keine Root-Rechte, und gewähren Sie selbst älteren Servern im Netz keinen Gastzugang. Bringen Sie Ihren Benutzern bei, wie man wirklich gute Passwörter wählt, und rüsten Sie sie mit Tools wie 1Password aus, die es ihnen erleichtern, für jedes Konto und jede Website, die sie benutzen, unterschiedliche Passwörter zu verwenden.
Denn unterm Strich wirkt sich jede Entscheidung, die Sie in Bezug auf Ihre Systeme treffen, auf Ihre Sicherheit aus, sogar das Betriebssystem, mit dem Ihre Benutzer arbeiten.
Windows, die beliebte Wahl
Wenn Sie ein Sicherheitsmanager sind, lassen sich die in diesem Artikel aufgeworfenen Fragen höchstwahrscheinlich wie folgt umformulieren: Wären wir sicherer, wenn wir uns von Microsoft Windows abwenden würden? Zu sagen, dass Windows den Unternehmensmarkt dominiert, wäre eine Untertreibung. NetMarketShare schätzt, dass unglaubliche 88 % aller Computer im Internet mit einer Version von Windows arbeiten.
Wenn Ihre Systeme zu diesen 88 % gehören, wissen Sie wahrscheinlich, dass Microsoft die Sicherheit des Windows-Systems weiter verbessert hat. Zu den Verbesserungen gehören das Um- und Neuschreiben der Codebasis des Betriebssystems, das Hinzufügen eines eigenen Virenschutzsystems, die Verbesserung von Firewalls und die Einführung einer Sandbox-Architektur, bei der Programme nicht auf den Speicherbereich des Betriebssystems oder anderer Anwendungen zugreifen können.
Die Beliebtheit von Windows ist jedoch ein Problem für sich. Die Sicherheit eines Betriebssystems kann in hohem Maße von der Größe seiner installierten Basis abhängen. Für Malware-Autoren bietet Windows ein riesiges Spielfeld. Wenn sie sich darauf konzentrieren, erhalten sie den größten Nutzen für ihre Bemühungen.
Wie Troy Wilkinson, CEO von Axiom Cyber Solutions, erklärt: „Windows steht in der Welt der Sicherheit aus verschiedenen Gründen immer an letzter Stelle, hauptsächlich wegen der Akzeptanz durch die Verbraucher. Mit einer großen Anzahl von Windows-basierten PCs auf dem Markt haben es Hacker in der Vergangenheit am häufigsten auf diese Systeme abgesehen.“
Es ist sicherlich wahr, dass von Melissa bis WannaCry und darüber hinaus ein Großteil der Malware, die die Welt gesehen hat, auf Windows-Systeme abzielte.
macOS X und Sicherheit durch Unklarheit
Wenn das beliebteste Betriebssystem immer das größte Ziel sein wird, kann dann die Verwendung einer weniger beliebten Option Sicherheit gewährleisten? Diese Idee ist eine neue Variante des alten – und völlig diskreditierten – Konzepts der „Sicherheit durch Unklarheit“, das davon ausging, dass die Geheimhaltung der inneren Funktionsweise von Software der beste Weg ist, um sich gegen Angriffe zu schützen.
Wilkinson stellt unumwunden fest, dass macOS X „sicherer als Windows ist“, aber er beeilt sich hinzuzufügen, dass „macOS früher als ein völlig sicheres Betriebssystem mit geringer Wahrscheinlichkeit von Sicherheitslücken galt, aber in den letzten Jahren haben wir gesehen, dass Hacker zusätzliche Schwachstellen gegen macOS entwickelt haben.“
Mit anderen Worten, die Angreifer verzweigen sich und ignorieren das Mac-Universum nicht.
Sicherheitsforscher Lee Muson von Comparitech sagt, dass „macOS wahrscheinlich die erste Wahl ist“, wenn es darum geht, ein sichereres Betriebssystem zu wählen, aber er warnt davor, dass es nicht undurchdringlich ist, wie einst angenommen. Sein Vorteil ist, dass „es immer noch von einem Hauch von Sicherheit durch Unklarheit profitiert, im Gegensatz zu dem immer noch viel größeren Ziel, das das Angebot von Microsoft darstellt.“
Joe Moore von Wolf Solutions traut Apple etwas mehr zu: „macOS X hat von Haus aus eine großartige Erfolgsbilanz, wenn es um Sicherheit geht, zum Teil, weil es nicht so sehr ins Visier genommen wird wie Windows, und zum Teil, weil Apple ziemlich gut darin ist, bei Sicherheitsproblemen auf dem Laufenden zu bleiben.“
Und der Gewinner ist …
Das wussten Sie wahrscheinlich von Anfang an: Die Experten sind sich einig, dass Linux das sicherste Betriebssystem ist. Aber während es das Betriebssystem der Wahl für Server ist, gibt es nur wenige Unternehmen, die es auf dem Desktop einsetzen.
Und wenn Sie sich doch für Linux entschieden haben, müssen Sie immer noch entscheiden, welche Linux-Distribution Sie wählen wollen, und da wird es schon etwas komplizierter. Die Benutzer wollen eine Benutzeroberfläche, die ihnen vertraut erscheint, und Sie wollen das sicherste Betriebssystem.
Wie Moore erklärt, „hat Linux das Potenzial, das sicherste zu sein, erfordert aber, dass der Benutzer ein Power-User ist“. Also nicht für jedermann.
Zu den Linux-Distributionen, die Sicherheit als Hauptmerkmal haben, gehört Parrot Linux, eine auf Debian basierende Distribution, die laut Moore zahlreiche sicherheitsrelevante Tools gleich nach dem Auspacken bietet.
Ein wichtiges Unterscheidungsmerkmal ist natürlich, dass Linux Open Source ist. Die Tatsache, dass Programmierer die Arbeit der anderen lesen und kommentieren können, mag wie ein Sicherheitsalbtraum erscheinen, stellt sich aber als ein wichtiger Grund heraus, warum Linux so sicher ist, sagt Igor Bidenko, CISO von Simplex Solutions. „Linux ist das sicherste Betriebssystem, da sein Quellcode offen ist. Jeder kann es überprüfen und sicherstellen, dass es keine Fehler oder Hintertüren enthält.“
Wilkinson führt aus, dass „Linux und Unix-basierte Betriebssysteme weniger ausnutzbare Sicherheitslücken aufweisen, die in der Welt der Informationssicherheit bekannt sind. Der Linux-Code wird von der Tech-Community überprüft, was der Sicherheit zugute kommt:
Das ist eine subtile und vielleicht kontraintuitive Erklärung, aber dadurch, dass Dutzende – oder manchmal Hunderte – von Leuten jede Zeile des Codes im Betriebssystem durchlesen, ist der Code tatsächlich robuster und die Wahrscheinlichkeit, dass Fehler in die freie Wildbahn gelangen, wird verringert. Das hat viel damit zu tun, dass PC World direkt gesagt hat, Linux sei sicherer. Katherine Noyes erklärt: „Microsoft mag sein großes Team von bezahlten Entwicklern anpreisen, aber es ist unwahrscheinlich, dass dieses Team mit einer globalen Basis von Linux-Benutzerentwicklern rund um den Globus mithalten kann. Die Sicherheit kann durch all diese zusätzlichen Augen nur profitieren.“
Ein weiterer Faktor, der von PC World angeführt wird, ist das bessere Modell der Benutzerprivilegien von Linux: Windows-Benutzer „erhalten in der Regel standardmäßig Administrator-Zugriff, was bedeutet, dass sie so ziemlich auf alles im System zugreifen können“, heißt es in Noyes‘ Artikel. Linux hingegen schränkt „root“ stark ein.
Noyes merkte auch an, dass die Vielfalt, die in Linux-Umgebungen möglich ist, eine bessere Absicherung gegen Angriffe darstellt als die typische Windows-Monokultur: Es gibt einfach eine Menge verschiedener Linux-Distributionen. Und einige von ihnen unterscheiden sich in einer Weise, die speziell auf Sicherheitsbedenken ausgerichtet ist. Der Sicherheitsforscher Lee Muson von Comparitech hat folgenden Vorschlag für eine Linux-Distribution: „Das Qubes-Betriebssystem ist der beste Ausgangspunkt für Linux, den man derzeit finden kann, und seine Unterstützung durch Edward Snowden stellt seine eigenen, äußerst bescheidenen Ansprüche in den Schatten.“ Andere Sicherheitsexperten verweisen auf spezialisierte sichere Linux-Distributionen wie Tails Linux, die so konzipiert sind, dass sie sicher und anonym direkt von einem USB-Flash-Laufwerk oder einem ähnlichen externen Gerät ausgeführt werden können.
Sicherheitsdynamik aufbauen
Trägheit ist eine starke Kraft. Obwohl es einen klaren Konsens darüber gibt, dass Linux die sicherste Wahl für den Desktop ist, hat es keinen Ansturm auf Windows- und Mac-Rechner gegeben, um es zu ersetzen. Nichtsdestotrotz würde ein kleiner, aber signifikanter Anstieg der Akzeptanz von Linux wahrscheinlich zu einer sichereren Computernutzung für alle führen, denn der Verlust von Marktanteilen ist ein sicherer Weg, um die Aufmerksamkeit von Microsoft und Apple zu gewinnen. Mit anderen Worten: Wenn genügend Benutzer auf Linux auf dem Desktop umsteigen, werden Windows- und Mac-PCs sehr wahrscheinlich zu sichereren Plattformen.