Software::Distributionen::Mandriva
Gemeinsame Erklärung von Debian, Mandrake, Red Hat und SUSE zum Forrester-Report
Die Linux-Anbieter Debian, Mandrake, Red Hat und SUSE haben sich zusammengeschlossen, um eine gemeinsame Erklärung zum Forrester-Bericht mit dem Titel »Is Linux more secure than Windows?« (»Ist Linux sicherer als Windows?«) abzugeben.
Entgegen der Behauptung des Berichts, eine qualitative Beurteilung der Reaktionen der Anbieter auf schwerwiegende Verwundbarkeiten zu bieten, behandelt er alle Verwundbarkeiten gleich, unabhängig von ihrem Risiko für die Benutzer.
Die Sicherheitsteams der Linux-Distributoren Debian, Mandrakesoft, Red Hat und SUSE haben Forrester dabei geholfen, Daten über Verwundbarkeiten in ihren Produkten zusammenzustellen und zu korrigieren. Was Forrester daraus machte, gibt den Distributoren Anlaß zur Besorgnis, wie sie es ausdrücken.
Forrester sammelte Daten über die Verwundbarkeiten, von denen Linux im Zeitraum eines Jahres (Juni 2002 - Mai 2003) betroffen war, und untersuchte, wie viele Tage es gedauert hatte, bis Patches bereitstanden. Daraus wurde die Schlußfolgerung abgeleitet, daß Linux-Systeme länger Risiken ausgesetzt sind als Windows-Systeme, da Patches für Linux im Durchschnitt länger auf sich warten ließen.
»Erhebliche Anstrengungen wurden darauf verwendet, sicher zu stellen, dass nicht nur die zugrunde liegenden Daten über die Verwundbarkeiten korrekt waren, sondern auch den speziellen technischen und organisatorischen Aufwand zu beschreiben, der im Bereich der professionellen Sicherheitsbehandlung für Freie Software betrieben wird«, schreiben die Distributoren. Um so ärgerlicher ist es, daß diese Daten von Forrester weitgehend ignoriert wurden, was nach Meinung der Distributoren zu fehlerhaften Schlussfolgerungen führte.
Die Sicherheitsteams und angesehene, auf Sicherheit spezialisierte Organisationen (wie CERT/DHS, BSI, NIST, NISCC) tauschen Informationen über Verwundbarkeiten aus und kooperieren bei ihrer Beurteilung und Behebung. Jede Verwundbarkeit wird individuell untersucht und beurteilt; die Schwere der Verwundbarkeit wird von jedem der einzelnen Teams basierend sowohl auf dem Risiko und den Auswirkungen wie auch anderen, meist technischen Eigenschaften der Verwundbarkeit und der betroffenen Software festgestellt. Diese Schwere wird dann benutzt, um die Priorität, mit der an einer Behebung der Verwundbarkeit gearbeitet wird, gegenüber anderen ausstehenden Verwundbarkeiten festzulegen. So kann auf schwerwiegende Probleme innerhalb von Stunden reagiert werden, während harmlosere zugunsten ernsterer Fehler zurückgestellt werden.
Betrachtet man also nur ernste Sicherheitslücken oder etwa nur diejenigen, die das eigene System überhaupt betreffen (oder nimmt den Median der Wartezeit auf Patches), so ergibt sich ein ganz anderes Bild als Forrester zu zeichnen versucht. (Dank an Chris.)
