Sicherheitsbedenken: Hexenjagd gegen Microsoft

Alle paar Jahre wiederholen sich die Anschuldigungen gegenüber Microsoft, dass Windows und Office unsicher seien (zeige ich mit dem Zeigefinger auf jemanden, so zeigen drei auf mich!) In diesem Fall geht es vor allem um Behörden, die wie jedes andere wirtschaftliche Unternehmen auf Microsoft Software setzen. Oder kennt jemand meiner Leser noch aktive Installationen von StarOffice oder Novell NetWare? Ich bin noch nie auf einen Kunden gestoßen, der nicht Office im Einsatz hatte, dazu noch einen Exchange E-Mail Server und das dazu passende Active Directory. Alles auf Microsoft Windows Server.

Manch einer hat noch Lotus Domino im Einsatz, aber ob dieser Server weniger Lücken vorweist oder auch verschlüsselt nach Hause kommuniziert kann ich leider nicht sagen. Ich finde die aktuellen Nachrichten rund um Microsofts Tools und die Entscheidungen der Behörden eher unangebracht, denn Software ist und bleibt buggy. Pro 1000 Zeilen Code schleicht sich schon mal 1 Fehler ein, der eventuell sicherheitsrelevante Probleme verursachen kann. Bei einem 100 Millionen Zeilen langen Windows werden das so einige Fehler mehr, zählt man Office dazu werden es immer mehr.

Das ganze kam vor allem durch einen Beitrag des ARD an’s Licht:

Sicherheitslücken bei Windows und Office

Wer glaubt er kaufe gegen Geld sichere Software irrt sich stark. Gleiches gilt bei kostenloser Software. Universelle Gesetzmäßigkeiten interessieren sich weniger für monetäre Angelegenheiten. Trotz allem wäre ein Vergleich mit alternativer Software interessant. Gleichzeitig sind überhaupt Zahlen interessant, denn die Aussage: „Die Software ist unsicher.“ scheint mir eher ein populistischer Ausdruck zu sein.

  • Software: Windows 10
  • bekannte Sicherheitslücken (20.02.2018): 504
  • CVE URL: https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-32238/Microsoft-Windows-10.html

 

  • Software: Linux Kernel
  • bekannte Sicherheitslücken (seit 1999): 2011
  • CVE URL: https://www.cvedetails.com/product/47/Linux-Linux-Kernel.html?vendor_id=33

 

  • Software: Microsoft Office 2016
  • bekannte Sicherheitslücken (20.02.2018): 40
  • CVE URL: https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-320/version_id-187342/Microsoft-Office-2016.html

 

  • Software: Open Office
  • bekannte Sicherheitslücken (20.02.2018): 34
  • CVE URL: https://www.cvedetails.com/vulnerability-list/vendor_id-1510/Openoffice.html

OpenSource als bessere Alternative?

Die Zahlen passen zur häufig anzutreffenden Aussage, dass OpenSource Software generell weniger Sicherheitslücken aufweist und damit sicherer ist. Im Detail habe ich mir die CVE Lücken nicht alle genau angesehen. Manche davon haben einen höheren Score und gelten als wesentlich gefährlicher als andere. Gleichwohl ist die Kontrolle von vielen subjektiv gesehen sicherer. Man fühlt sich besser aufgehoben, wenn viele unterschiedliche Menschen über Software blicken. Geheime, verschlüsselte Kanäle, wie Microsoft sie scheinbar einsetzt, wären sofort aufgedeckt, samt deren Inhalt.

Aber wie bei jede Software, wird auch im OpenSource Bereich durch Menschenhand Software entwickelt und das liefert fehlerhafte Software. Somit haben wir bei closedsource Projekten, wie auch bei OpenSource Projekten eine bestimmte Anzahl an Fehlern im Programmcode. Womöglich sind in OpenSource Programmen etwas weniger Fehler vorhanden. Aus Datenschutzsicht, wäre closedsource vermutlich die schlechtere Alternative. Am Beispiel von Microsoft sieht man das ganz deutlich, denn laut heise, ist Windows immer noch sehr kommunikativ mit dem Hersteller, obwohl alle möglichen Services deaktiviert sind.

Die lapidare Aussage, dass die Systemstabilität gefährdet sei bei einer Unterbindung, kann ich persönlich von nicht bestätigen. Ich kenne Windows Systeme, die schon lange ohne eine Internetverbindung jeden Tag zuverlässig funktionieren. Was genau Microsoft an sich schicken lässt, möchte der Hersteller natürlich nicht verraten. Aber so wichtig scheint es für die Stabilität nicht sein.

Fazit

Gleichgültig, für welche Systeme man sich entscheidet, werden Fehler im Programm niemals ganz verschwinden, denn dafür sorgen wir Menschen. Letztlich bleibt also zu entscheiden, wie man mit den Systemen umgeht und hier wird es interessant. Gesunder Menschenverstand hilft nämlich als bestes Heilmittel. Aber auch die Neugier, denn nur weil laut Hersteller etwas nicht geht, heißt es nicht, dass es tatsächlich auch so ist. Probiert lieber aus, bevor ihr die Flinte in’s Korn werft.

Und beschäftigt euch mit euren Systemen, denn egal ob Open- oder ClosedSource, man sollte sich bei beiden Paradigmen auf die Systeme einlassen und recherchieren.

Beitragsbild Shell script points of interest to coordinates (verändert) von Christiaan Colen Creative Commons CC-BY SA 2.0

Schreibe einen Kommentar