Die Linux-Anbieter Debian, Mandrake, Red Hat und SUSE haben sich zusammengeschlossen, um eine gemeinsame Erkl�rung zum Forrester-Bericht mit dem Titel �Is Linux more secure than Windows?� (�Ist Linux sicherer als Windows?�) abzugeben. Entgegen der Behauptung des Berichts, eine qualitative Beurteilung der Reaktionen der Anbieter auf schwerwiegende Verwundbarkeiten zu bieten, behandelt er alle Verwundbarkeiten gleich, unabh�ngig von ihrem Risiko f�r die Benutzer.
Die Sicherheitsteams der Linux-Distributoren Debian, Mandrakesoft, Red Hat und SUSE haben Forrester dabei geholfen, Daten �ber Verwundbarkeiten in ihren Produkten zusammenzustellen und zu korrigieren. Was Forrester daraus machte, gibt den Distributoren Anla� zur Besorgnis, wie sie es ausdr�cken. Forrester sammelte Daten �ber die Verwundbarkeiten, von denen Linux im Zeitraum eines Jahres (Juni 2002 - Mai 2003) betroffen war, und untersuchte, wie viele Tage es gedauert hatte, bis Patches bereitstanden. Daraus wurde die Schlu�folgerung abgeleitet, da� Linux-Systeme l�nger Risiken ausgesetzt sind als Windows-Systeme, da Patches f�r Linux im Durchschnitt l�nger auf sich warten lie�en. �Erhebliche Anstrengungen wurden darauf verwendet, sicher zu stellen, dass nicht nur die zugrunde liegenden Daten �ber die Verwundbarkeiten korrekt waren, sondern auch den speziellen technischen und organisatorischen Aufwand zu beschreiben, der im Bereich der professionellen Sicherheitsbehandlung f�r Freie Software betrieben wird�, schreiben die Distributoren. Um so �rgerlicher ist es, da� diese Daten von Forrester weitgehend ignoriert wurden, was nach Meinung der Distributoren zu fehlerhaften Schlussfolgerungen f�hrte. Die Sicherheitsteams und angesehene, auf Sicherheit spezialisierte Organisationen (wie CERT/DHS, BSI, NIST, NISCC) tauschen Informationen �ber Verwundbarkeiten aus und kooperieren bei ihrer Beurteilung und Behebung. Jede Verwundbarkeit wird individuell untersucht und beurteilt; die Schwere der Verwundbarkeit wird von jedem der einzelnen Teams basierend sowohl auf dem Risiko und den Auswirkungen wie auch anderen, meist technischen Eigenschaften der Verwundbarkeit und der betroffenen Software festgestellt. Diese Schwere wird dann benutzt, um die Priorit�t, mit der an einer Behebung der Verwundbarkeit gearbeitet wird, gegen�ber anderen ausstehenden Verwundbarkeiten festzulegen. So kann auf schwerwiegende Probleme innerhalb von Stunden reagiert werden, w�hrend harmlosere zugunsten ernsterer Fehler zur�ckgestellt werden. Betrachtet man also nur ernste Sicherheitsl�cken oder etwa nur diejenigen, die das eigene System �berhaupt betreffen (oder nimmt den Median der Wartezeit auf Patches), so ergibt sich ein ganz anderes Bild als Forrester zu zeichnen versucht. (Dank an Chris.) ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
