Sinnlose Vergleichbarkeit Marc Ruef | 03.10.2011 Lieber Leser, versuchen Sie ohne gross nachzudenken die folgende Frage zu beantworten: "Was ist sicherer, Windows oder Linux?" Und, was haben Sie gesagt? Konnten Sie sich "spontan" festlegen? Falls ja, dann eine weitere Frage, die dem gleichen modus operandi unterworfen werden soll: "Was ist besser, Mercedes oder BMW?" Konnten Sie auch diese beantworten? Falls ja, dann sind Sie an Entscheidungsfreudigkeit wohl kaum zu überbieten. Das mag okay sein, wenn man als US-amerikanischer Präsident mal eben nebenbei ein unterentwickeltes Land im nahen Osten einnehmen will. Weitsichtigkeit und Differenziertheit gestalten sich aber anders - Tut mir leid! Sicherheit ist ein weit gedehnter Begriff. Sicher gegenüber was? Sicher gegenüber wem? Sicher in welcher Situation? Sicher für wie lange? Auch Fort Knox kann unsicher betrieben werden, wenn ungeschultes Personal für die Absicherung des Geländes zuständig ist. Genauso verhält es sich bei Computersystemen, die im Betrieb gewartet werden wollen. Ein ungeschulter Administrator wird jedes System in unsicherer Weise betreiben können. Und ein unbedarfter Benutzer wird früher oder später zu einer kompromittierenden Handlung getrieben werden. Keine Angst, denn vielleicht wollte ich ja nur wissen, welches System "von Haus aus" sicherer ist. Da kann man statistische Mittel zuhilfe nehmen, um anhand von Codequalität und veröffentlichten Patches Rückschlüsse auf die Sicherheit eines Systems zu ziehen. Also nochmal: "Was ist sicherer: Windows, Linux oder MacOS X?" Konnten Sie sich noch immer entscheiden? Falls ja, dann sind sie entweder ein Savant mit der göttlichen Gabe der statistischen Hochrechnung in Rekordzeit. Oder Sie wohnen in Texas und behaupten auch in ihren Memoiren, dass sämtliche Ihrer vorschnellen Entscheidungen richtig waren. Nehmen wir als statistischen Hilfswert die Anzahl der Advisories, die zu einem Produkt erschienen sind. Ist eine hohe Anzahl in negativer Weise bezüglich der Sicherheit des Produktes auszulegen? Schliesslich gibt es eine Vielzahl an Fehlern. Oder ist es vielleicht nicht positiv anzusehen, dass sich a) viele Leute mit dem Produkt auseinandersetzen und b) durch das Aufdecken von Fehlern eben diese beseitigen lassen (http://www.scip.ch/?labs.20110616). Haben Sie schon mal vom Betriebssystem QNX gehört oder gar ein Advisory dazu gesehen? Nein? Ist dieses System nun extrem sicher? Auf meinem iPad speichere und lektoriere ich meine Blog-Beiträge. Sollte das Gerät kompromittiert und diese frühzeitig veröffentlicht werden, erachte ich den Schaden als sehr gering. Das Gerät ist in diesem Fall sicher genug, um meinen Anforderungen gerecht werden zu können. Ich betrachte es jedoch nicht als sicher genug, um die Launch-Codes für atomare Raketen zu verwalten. Ist das iPad nun sicher oder nicht? Sicherheit ist ein Bedürfniss, das im Kontext der individuellen Anforderungen (http://www.computec.ch/news.php?item.151) betrachtet werden muss. Das Darlegen einer subjektiven Vergleichbarkeit von Betriebssystemen und Software-Lösungen ist unsinnig. Eine Aussage, dass PCs nun sicherer sind als Macs (http://www.tagesanzeiger.ch/digital/internet/PCs-sind-sicherer-als-Macs/story/19286128) ist in etwa genauso sinnvoll und solid, wie wenn ich behaupten würde, dass das Messer das bessere Esswerkzeug ist als der Löffel. Ich will mal jemanden sehen, der mit einem Messer eine Bouillonsuppe isst. Genauso möchte ich sehen, wie jemand einen sicheren Webserver mit Windows NT 4.0 zu betreiben in der Lage ist (Ja, ich habe das tatsächlich schon gesehen!). Manche Dinge sind mit dem falschen Werkzeug nur sehr schwierig umzusetzen - Und manche Dinge sind effektiv einfach nur noch unmöglich.