Microsoft-Studie: Windows ist sicherer als Linux

Unternehmen, die ihren Webserver unter Linux betreiben sind einem größeren Risiko ausgesetzt als solche, die Windows für diese Aufgabe verwenden. Dies ist das Ergebnis einer von Microsoft in Auftrag gegebenen Studie, die von Security Innovations durchgeführt wurde. Sie ist Teil der „Get the Facts„-Kampagne, mit der Redmond die Vorteile der eigenen Software demonstrieren will.

Demnach hatte ein Webserver mit Windows Server 2003, Internet Information Server 6, SQL Server 2000 und ASP.net im Jahr 2004 deutlich weniger Lücken als eine Konfiguration mit Red Hat Enterprise Linux 3, Apache, MySQL und PHP. In der Standard-Konfiguration waren es laut der Studie bei der Windows-Konfiguration 52 Schwachstellen, bei Linux dagegen 174 Lücken. Bei der Minimalkonfiguration seien in der Windows-Umgebung 52 Schwachstellen, im Linux-Setup 132.

Auch bei der Messung der Anzahl der Tage, an denen bekannte Sicherheitslücken nicht gepatcht waren, liegt Microsoft laut der Studie vorne. Bei der Software der Redmonder seien es insgesamt 1600 Tage gewesen, bei Linux dagegen 12.000.

Bei Red Hat wollte man die Ergebnisse der Studie natürlich nicht unkommentiert hinnehmen. „Wir glauben, dass darin einige Ungenauigkeiten sind“, schrieb Mark Cox in seinem Blog. Cox leitet das Security Response Team bei Red Hat. So seien schwerwiegende Sicherheitslücken nicht von weniger ernsten unterschieden worden.

„In Red Hat Enterprise Linux 3 waren nur acht Sicherheitslücken, die sowohl von Microsoft als auch von Red Hat als schwerwiegend klassifiziert würden“, so Cox. „Davon wurden drei Viertel innerhalb eines Tages gefixt, der Durchschnitt lag bei acht Tagen.“ Als schwerwiegend werden Sicherheitslücken üblicherweise dann klassifiziert, wenn dadurch die Kontrolle über ein System möglich wird.

Entgegen der Aussage von Cox macht die Studie aber doch einen Unterschied zwischen den Schweregraden „hoch“, „mittel“ und „niedrig“. Dem Papier zufolge waren in der Microsoft-Software in allen Konfigurationen deutlich weniger ernste Schwachstellen als in der Linux-Umgebung.

Die Verfasser der Studie wiesen Kritik an der Durchführung der Studie zurück. „Die Methodik war so angelegt, dass andere die Ergebnisse validieren können – sie muss quantifizierbar und wiederholbar sein“, so Herbert Thompson, einer der Verfasser. Thompson ist Director of Research and Training bei Security Innovations. Mitgewirkt haben außerdem Security Test Engineer Fabien Casteran und Richard Ford, Computerwissenschaftler am Florida Institute of Technology.

Thompson räumte ein, dass die Sicherheit einer Umgebung in weiten Teilen von den Fähigkeiten des Administrators abhängt. Die Verfügbarkeit von Fachkräften entscheide dann über die optimale Plattform.