Unternehmen, die ihren Webserver unter Linux betreiben sind einem größeren Risiko ausgesetzt als solche, die Windows für diese Aufgabe verwenden. Dies ist das Ergebnis einer von Microsoft in Auftrag gegebenen Studie, die von Security Innovations durchgeführt wurde. Sie ist Teil der „Get the Facts„-Kampagne, mit der Redmond die Vorteile der eigenen Software demonstrieren will.
Demnach hatte ein Webserver mit Windows Server 2003, Internet Information Server 6, SQL Server 2000 und ASP.net im Jahr 2004 deutlich weniger Lücken als eine Konfiguration mit Red Hat Enterprise Linux 3, Apache, MySQL und PHP. In der Standard-Konfiguration waren es laut der Studie bei der Windows-Konfiguration 52 Schwachstellen, bei Linux dagegen 174 Lücken. Bei der Minimalkonfiguration seien in der Windows-Umgebung 52 Schwachstellen, im Linux-Setup 132.
Auch bei der Messung der Anzahl der Tage, an denen bekannte Sicherheitslücken nicht gepatcht waren, liegt Microsoft laut der Studie vorne. Bei der Software der Redmonder seien es insgesamt 1600 Tage gewesen, bei Linux dagegen 12.000.
Bei Red Hat wollte man die Ergebnisse der Studie natürlich nicht unkommentiert hinnehmen. „Wir glauben, dass darin einige Ungenauigkeiten sind“, schrieb Mark Cox in seinem Blog. Cox leitet das Security Response Team bei Red Hat. So seien schwerwiegende Sicherheitslücken nicht von weniger ernsten unterschieden worden.
„In Red Hat Enterprise Linux 3 waren nur acht Sicherheitslücken, die sowohl von Microsoft als auch von Red Hat als schwerwiegend klassifiziert würden“, so Cox. „Davon wurden drei Viertel innerhalb eines Tages gefixt, der Durchschnitt lag bei acht Tagen.“ Als schwerwiegend werden Sicherheitslücken üblicherweise dann klassifiziert, wenn dadurch die Kontrolle über ein System möglich wird.
Entgegen der Aussage von Cox macht die Studie aber doch einen Unterschied zwischen den Schweregraden „hoch“, „mittel“ und „niedrig“. Dem Papier zufolge waren in der Microsoft-Software in allen Konfigurationen deutlich weniger ernste Schwachstellen als in der Linux-Umgebung.
Die Verfasser der Studie wiesen Kritik an der Durchführung der Studie zurück. „Die Methodik war so angelegt, dass andere die Ergebnisse validieren können – sie muss quantifizierbar und wiederholbar sein“, so Herbert Thompson, einer der Verfasser. Thompson ist Director of Research and Training bei Security Innovations. Mitgewirkt haben außerdem Security Test Engineer Fabien Casteran und Richard Ford, Computerwissenschaftler am Florida Institute of Technology.
Thompson räumte ein, dass die Sicherheit einer Umgebung in weiten Teilen von den Fähigkeiten des Administrators abhängt. Die Verfügbarkeit von Fachkräften entscheide dann über die optimale Plattform.
Neueste Kommentare
10 Kommentare zu Microsoft-Studie: Windows ist sicherer als Linux
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
12.000 Tage?
Aha, also 12.000 Tage wurde daran gefixt? 12.000 / 365 = 32.8 Jahre? Schon merkwuerdig, wie manche Leute rechnen. Oder waren das nicht Tage, sondern Bugtage analog zu Mannjahren?
AW: 12.000 Tage?
Naja, angeblich ist ja im Linux Kernel code von Unix, d.h. da Unix schon aus den 60ern oder 70ern stammt, kommt diese Rechnung doch hin ;)
Von Microsoft… also…
"Dies ist das Ergebnis einer von Microsoft in Auftrag gegebenen Studie, die von Security Innovations durchgeführt wurde."
Also nicht weiter zu beachten
MS Taktik
Immer der bessere sein, immer der stärkere sein, das kennen wir doch in der Politik auch…aber ich kauf nie ein MS produkt…
AW: MS Taktik
Jo, nicht kaufen, es gibt schließlich andere Wege. Vielleicht findet sich ja irgendwann ein Test, der eine Gegenteilige Aussage liefert. Eine solche Gegenüberstellung finde ich durchaus sinnvoll:
Wir mit unserem Produkt gegen die mit ihrem Produkt.
– Jeweils das aktuellste System mit aktuellster Software.
– Jeweils in Standard-Konfiguration, so, wie es der Anfänger machen würde.
– Dann nochmal von Profi zusammengeschraubt, um zu zeigen, was maximal möglich ist an Sicherheit.
– Korrekte Gewichtung der einzelnen Lücken.
Falls sich jemand freut, weil ich bei einem Artikel einen Kommentar hinterlass, der schon 4 Jahre alt ist, kann er seine Freude gern zum Ausdruck bringen =).
Eigenlob stinkt, …..
1) Microsoft gab den Auftrag, ergo bestimmte MS damit das Regelwerk und die Erwartungen an die Studie.
2) MS würde wohl kaum bei einem gegenteiligen Bericht zahlen!
3) Man hat sowieso die äußersten und teuersten MS-Exoten ohne lange Geschichte rausgepickt und dann gegen Linux-Quasi-Standard ins Rennen geschickt.
4) Die Auswahl ist schon rein vom Preis her überhaupt nicht vergleichbar.
5) Die Verfasser sollten sich schämen, sich für solche vordergründigen MS-Ziele und die dazugehörige Statistikbiegerei hergegeben zu haben!
AW: Eigenlob stinkt, …..
Wiso sollte sich der mann, der diesen Text geschrieben hat schämen? der tut nur seine arbeit ;) wenn der test für microsoft negativ ausgefallen wäre, hätten sie’s einfach nicht veröffentlicht. und eigentlich sollte man eh nicht alles glauben, was geschrieben steht, windows ist schon ok, aber eigenlob ist wirklich eher peindlich als gutes marketing und in diesemfall sehr fragwürdig.
AW: AW: Eigenlob stinkt, …..
Tag zusammen. Ausserdem fehlt ein Faktor in dieser Rechnung :
Wieviele potenzielle Angreifer (Hacker, Würmer, Trojas usw.) schmeissen sich – schadhaft – bei welchem OS auf das bekanntgewordene Sicherheitsloch ?!
Gruss aus Düsseldorf,
Rainer.
AW: AW: AW: Eigenlob stinkt, …..
Microsofts Prestigeobjekte, die höchste Aufmerksamkeit genießen, zu nutzen, und dagegen ein Redhat-Produkt stellen, welches das "Standardmaß" (wobei "Standard" hier natürlich entsprechend definiert werden muß!) an Aufmerksamkeit erhält, ist meiner Meinung nach nicht Aussagekräftig. Rezept: Gib eine Studie in Auftrag, deren Ausgangsbasis (auf deiner eigenen Seite) Software ist, die (zeitweilig) ein Höchstmaß an Ressourcen der Betreuung erhält — gerade weil die Studie in Auftrag gegeben ist! — und stelle dagegen ein beliebiges Konkurrenzprodukt X, von dem du weißt, daß man es im normalen Rahmen mit Updates versorgt, et voilà, du hast den Vorteil.
Ob man Redhat und Microsoft derart vergleichen kann, ist meiner Meinung nach sowieso fragwürdig: Microsoft sitzt direkt am Quelltext und kann, sobald die Lücke auftaucht, ändern, neu übersetzen, ins Netz stellen. Redhat muß: Besorgen, übersetzen, anpassen, ins Netz stellen. Der Schritt "anpassen" ist meines Erachtens nicht mit geringem Aufwand verbunden, wenn wird "mal schnell" ein Patch eingspielt, der dann nicht funktioniert, ist das ein Desaster, das sich Redhat (oder egal welches Distributor) nicht erlauben kann. Vielleicht hätte man eher MS gegenüber selbstübersetzten Apache-, PHP- und MySQL-Installation geprüft und als Verfasser der Studie dann die Zeit gemessen, die vergeht, bis die Macher von Apache, … — spricht die Communitiy — reagiert.
AW: AW: AW: Eigenlob stinkt, …..
klar würden sich die scriptkiddies auf windows werfen, gerade weil sie aus der fricklerecke kommen und selbstbestätigungen brauchen.
das system was ich mag und liebe werd ich wo kaum kaputtmachen wollen , windows kaputtmachen macht ja och viel mehr fun.