Wäre die Zahl der Hackerangriffe weniger wenn Linux eingesetzt worden wäre?

[Philo]

Hallo zusammen,

in letzter Zeit liest man ja recht oft, dass wieder irgendeine Firma oder Institution gehackt wurde (z. B. Medienzentrum München-Land, Hochschule Ansbach, Metro usw.).

Ich frage mich daher: Wäre die Welt eine andere, wenn Linux eingesetzt werden würde? Und warum, was genau hat Linux sicherheitstechnisch besser als Windows?

[Waterdrop]

Ich frage mich daher: Wäre die Welt eine andere, wenn Linux eingesetzt werden würde?

Das vermag ich nicht zu beurteilen. Fest steht jedoch, dass ein großer Teil des Problems oft vor dem PC sitzt. Es werden oftmals Anhänge von dubiosen Mails geöffnet oder Links darin gefolgt. Schulungen könnte das Personal etwas sensibilisieren. Dies habe ich schon von größeren Firmen gehört. Aber in eher kleineren Firmen wird es sicherlich eher nicht praktiziert.

[Bit]

in letzter Zeit

Ohne Deine Frage schlüssig beantworten zu können, möchte ich doch die permanente Gefahr von Kompromittierungen verdeutlichen.

Nicht nur, weil es den Privatpersonen (selbst als Nutzer) in der Regel an Kompetenz fehlt, komplexe technische Zusammenhänge zu überblicken – und schon gar an der Motivation, diese mühsam zu erwerben!
Selbst, wer sich mit den Aktivisten der Datenschutzszene beschäftigt, um sich "gegen" ePass, ePerso, eGK, eHealth, Elster, RFID, Tracking in Fahrzeugen, Fluggastdaten usw. zu informieren, kann sich doch kaum dagegen wehren, daß der Staat ihn elektronisch verarbeitet – auf welche Weise und zu welchem Zweck auch immer.

Das Risiko, durch die elektronische Verarbeitung – selbst ohne freiwilligen Opt-in – ist doch enorm, wenn man einschlägige Meldungen über katastrophale Vorfälle betrachtet: ';--have i been pwned? und Wikipedia - List of data breaches

Dabei ist besonders bei der Wikipedia-Liste zu beachten, wen es alles betrifft:
Es ist keinerlei Argumentation gültig, weshalb die Datenverarbeitung irgendeiner Behörde, irgendeines Staates, irgendeines Unternehmens "definitiv" sicher für die Zukunft sein sollte!

Bei Privatseiten kann man sich schützen, indem man möglichst wenig Accounts anlegt und sie niemals miteinander und mit realen Daten verknüpft.
Aber bei den staatlichen, also gesetzlichen Verarbeitungen – meist ganz ohne Zutun des Betroffenen, geschweige denn seiner Genehmigung (aufgeklärt oder nicht) – geht das nicht und wir alle sind völlig ausgeliefert, bis wir erfahren, daß wir (in der Regel vor Jahren) einem Vorfall zu Opfer fielen – na so ein Pech! 

[Kopinski]

Hier einige Blogbeiträge vom the_tomas, einem ehemaligen Forenmitglied dazu. MS kommt dort nicht gut weg....
https://blog.jakobs.systems/blog/20220604-hacker-hacken-hirne/
...auch das Treibersicherheitsfeature warn Rohrkrepierer:

Auf den Nenner gebracht: Microsoft hat seit 2019 nicht nur nichts gemacht, sondern alles auch noch stümperhaft umgesetzt.

https://blog.jakobs.systems/micro/20221016-insecurity-by-microsoft/

Und auch bei fefe kommt MS nicht gut weg, z.B.:
https://blog.fefe.de/?ts=9f3c487b
https://blog.fefe.de/?ts=9dc6a50b

[Exciter]

Schön wie the_thomas wieder gegen Microsoft basht, das konnte er schon immer gut

Auch wenn er in Teilen oder komplett Recht haben mag, ich sehe das Problem auch woanders...

Die IT-Systeme werden immer komplexer, dazu geht nichts mehr ohne IT, die Software wird teilweile immer anfälliger (siehe MS-Bugs bei den Updates) dann kommt wie erwähnt der 0815-User dazu, der einfach auf Anhänge in Mails klickt und zack --> da greift dann aber ein anderes größeres Problem --> die Systeme (gerade in öffentlichen Einrichtungen) sind zu schlecht abgesichert/geschützt - es gibt auch kaum Disaster Recovery Pläne in solchen Insititutionen (ok, in Firmen in der freien Wirtschaft auch selten, je nach Größe und Budget) UND dann kommen noch die Fehlbesetzungen in den entsprechenden Positionen vor:

Extrem professionelle Hacker


frei nach Danisch (im Kuketz-Forum wurde ein Link zu Danisch ja gelöscht, da kontroverser Blog) - in den letzten 20 Jahren hat man sich in Deutschland halt nur um Frauenquote, Gender und sowas gekümmert, anstatt wirkliche Probleme anzugehen und Fachkräfte zu fördern/hervorzubringen - jetzt haben wir den Salat

In Sachen IT sind wir im Vergleich zu anderen Industrienationen längst abgehängt - ich habe vor über 10 Jahren in meinem Studium schon erlebt wie Frauen ohne Kompetenzen auf Lehrstühle gedrückt wurden, und selbst heute sehe ich durch meine berufliche Tätigkeit was im ÖD für Leute in der IT angestellt sind und teilweise Leitungspositionen besetzen - also auf dem Papier
Sicher nicht alle, aber der Großteil ist sicher für die Stelle/Aufgabe qualifiziert

Passend dazu:

eRezept auf Sommer 2025 verschoben


Das eRezept warum einfach wenn es auch kompliziert geht

Wo die Politik ihre Finger mit im Spiel hat, wird halt nix

[Philo]

Vielen Dank an euch allen für eure Antworten und Links.
Der letzte Link von fefe ist ja auch schön geschrieben, der erste Satz

[Andreas]

Ich denke mal die Frage bzw. die Antwort darauf ist eher philosophischer Natur!
Zum einen liegt es sicherlich auch an Qualifikation von Entscheidern, Software-Entwicklern, Administratoren und Anwendern.
Wenn ich mir hier an der Uni z.B. das Thema E-Mail anschaue, wird mir anders. "Wir" bekommen das seit 25 Jahren nicht ordentlich auf die Reihe. Erst mit Horde, mittlerweile mit Exchange. Irgendwas ist immer, wo man sich an den Kopf greift. Am besten verdeutlicht es die Aussage des Leiters vom Rechenzentrum vor einigen Jahren "E-Mail ist eh nicht rechtsverbindlich. Da ist es nicht so schlimm, wenn mal was verloren geht ..." Da greif ich mir an den Kopf und weis ehrlich gesagt nicht mehr, was ich dazu sagen soll.

Aber zurück zum Thema:
Wir erleben halt leider seit über 20 Jahren, dass Software ein Bananenprodukt geworden ist. Denn mit dem Internet kann man ja problemlos nachpatchen ...
Und das führt halt weltweit leider sehr häufig zur "Feature-ritis" in der Softwareentwicklung. Erstmal irgenwelchen "Blinky-Fancy-Hot-Shit" einbauen, damit man sich von der Konkurrenz abheben kann. Probleme und Bugs werden dann "irgendwann" gepatched.
Und wenn dann nach diesem Fancy-Feature die "Drucken Funktion" des Lohnprogramms nicht mehr geht, ist das ja nicht so schlimm. Kann man ja im nächsten Monat fixen. Und wir leben ja im digitalen Zeitalter, da werden halt mal keine Lohnbescheinigugen ausgedruck, sondern es wird ein Screenshot gemacht, den man bei Word einfügt usw. ... (So erlebt mit einer professionellen Lohnrechensoftware.)

Und an diesem Blinky-Fancy-Hot-Shit-Features werden dann halt leider auch andere Softwarelösungen gemessen. Dadurch kommen diese auch wieder in zugzwang. Dadurch entsteht eine Abwärtsspirale, da Stabilität und Sicherheit auf der Strecke bleiben.

Die Linux-Distributionen konnten sich dem bisher größtenteils entziehen. Aber das führt halt auch dazu, dass es zunehmend (zumindest in meinem Umfeld) heißt, dass Linux als Arbeitsplatz-System ungeeignet wäre, weil es zu viele Features nicht unterstützen würde. Ob das gut oder schlecht ist, weil es das ganze ggf. auf das Wesentliche reduziert, wird in dieser Betrachtung leider meist außen vor gelassen.
Als ich 2004 angefangen hatte Informatik zu studieren, wurde uns erklärt, dass sich die Software nach den Arbeitsabläufen der Firma/Institution richten muss, wo sie eingesetzt wird. Heute gibt die Software der Firma die Arbeitsabläufe vor. Und das führt in meinen Augen zu massiven Problem, weil dadurch zu viele Leute ihre Arbeitsabläufe nicht mehr verstehen, weil sich diese nicht mehr an der Aufgabe, sondern an der Software orientieren.

Aber auch damit schweife ich schon wieder ab.
Also zurück zu Frage ob es mit mehr Linux in Firmen/Behörden weniger Sicherheitsvorfälle gebe:
Ich denke ja, es wären zumindest für eine Weile deutlich weniger.
Begründung:
Bei Linux wird in meinen Augen per Design mehr wert auf IT-Sicherheit gelegt. Viele der problematischen Features sowie zugehöriger Schnittstellen gibt es nicht. Also können sie auch nicht ausgenutzt werden. Zudem müssten viele Leute ihre grauen Zellen wieder mehr zusammen nehmen und ihre Werkzeuge neu erlernen, dadurch würden sie mehr aufpassen. Wenn es mehr Linux in Firmen und Behörden geben würde, würde auch mehr Arbeit in die Entwicklung von Linux fließen, so dass es schneller vorankommen würde.
Und genau an dem letzten Punkt liegt die Gefahr in dieser Betrachtung. Denn es würde die Gefahr bestehen, dass genau die selbe "Hot-Fancy-Shit-Bullshit-Feature-Hackerei" losgeht wie bei Windows und dann beginnt auch bei Linux die besagte Abwärtsspirale ...

Was es in meinen Augen bräuchte wäre mehr Verantwortung* in der Softwareentwicklung. Ich weiß nicht mehr wer es mal gesagt hat, aber ich muss immer an folgendes Zitat denken:
"Es gibt auf der Welt genau zwei Dinge ohne Produkthaftung, Religion und Software ..."
Müssten Software-Entwickler genauso für Ihre Arbeit haften wie z.B. Architekten und Bauingenieure, dann würde die Zahl der Software-Entwickler deutlich schwinden und die Qualität der Software deutlich steigen.

My 5 Cents,
Andreas

PS: *
Meine Definition von Verantwortung lautet "Du wirst für das, was du tust, zur Verantwortung gezogen! (ggf. durch den Staatsanwalt)"
Das ist bitte nicht zu verwechseln mit der heutigen politischen Definition von Verantwortung, die da meist lautet "Deine Entscheidungen fallen vielen Menschen auf die Füße! Und wenn du es nicht schaffst bis zur nächsten Wahl davon abzulenken, wird dein befristeter Arbeitsvertrag (Mandat) vielleicht nicht verlängert ..."

[Philo]

Das mit der Qualität der Software erinnert mich gerade an einen Kumpel und einem Spiel.
Das Spiel ist zu Release für PC quasi nicht spielbar rausgekommen. Dann wurde etwas nachgepatcht und nach eineinhalb Jahren war das Spiel zwar dann spielbar aber an vielen Stellen immer noch sehr verbugt. Daraufhin musste ich dann doch etwas lachen und hab gemeint, dass das ja im Grunde auch eine Frechheit ist, da man ja fast 60 Euro zahlt. Daraufhin meinte er nur, dass es ja nicht so schlimm ist und momentan die Entwickler eben mehr ein Augenwerk auf den neuen Teil werfen. Tja, ,,Viel Spaß" habe ich mir da nur gedacht.
Und ich glaube das ist auch ein Problem in der Gesellschaft. Man nimmt es einfach so hin, dass manche Software qualitativ schlecht ist...

[Exciter]

Aber auch damit schweife ich schon wieder ab.
Also zurück zu Frage ob es mit mehr Linux in Firmen/Behörden weniger Sicherheitsvorfälle gebe:
Ich denke ja, es wären zumindest für eine Weile deutlich weniger.
Begründung:
Bei Linux wird in meinen Augen per Design mehr wert auf IT-Sicherheit gelegt. Viele der problematischen Features sowie zugehöriger Schnittstellen gibt es nicht. Also können sie auch nicht ausgenutzt werden. Zudem müssten viele Leute ihre grauen Zellen wieder mehr zusammen nehmen und ihre Werkzeuge neu erlernen, dadurch würden sie mehr aufpassen. Wenn es mehr Linux in Firmen und Behörden geben würde, würde auch mehr Arbeit in die Entwicklung von Linux fließen, so dass es schneller vorankommen würde.

Und genau an dem letzten Punkt liegt die Gefahr in dieser Betrachtung. Denn es würde die Gefahr bestehen, dass genau die selbe "Hot-Fancy-Shit-Bullshit-Feature-Hackerei" losgeht wie bei Windows und dann beginnt auch bei Linux die besagte Abwärtsspirale ...

Was es in meinen Augen bräuchte wäre mehr Verantwortung* in der Softwareentwicklung. Ich weiß nicht mehr wer es mal gesagt hat, aber ich muss immer an folgendes Zitat denken:
"Es gibt auf der Welt genau zwei Dinge ohne Produkthaftung, Religion und Software ..."
Müssten Software-Entwickler genauso für Ihre Arbeit haften wie z.B. Architekten und Bauingenieure, dann würde die Zahl der Software-Entwickler deutlich schwinden und die Qualität der Software deutlich steigen.

+1 absolute Zustimmung, auch beim Rest des Posts, wollte nur diesen Teil hinausheben..

1. Da geht es ja schon los --> Zudem müssten viele Leute ihre grauen Zellen wieder mehr zusammen nehmen - meine Erfahrungen: Es wird immer schlimmer, keiner denkt mehr wirklich mit und ist von einfachsten Dingen die vom Standard-ABC abweichen heillos überfordert...

2. Es ist ja politisch gar nicht gewollt auf Linux umzusteigen, siehe Limux etc., da wird lieber Geld in teure Supportverträge mit MS gesteckt - sicherlich fließen da auch noch anderswo einige Sümmchen;)

Da wo die Politik ihre Finger im Spiel hat, kommt meistens eh nix vernünftiges bei raus, siehe im anderen Thread mit dem E-Rezept *duckundweg*

[Andreas]

2. Es ist ja politisch gar nicht gewollt auf Linux umzusteigen, siehe Limux etc., da wird lieber Geld in teure Supportverträge mit MS gesteckt - sicherlich fließen da auch noch anderswo einige Sümmchen;)

Microsoft hat halt eine Lobby, Linux nicht ...

Zu mir meinte mal ein Bekannter, der in einer ziemlich großen Firma arbeitet, im Gespräch, dass in Deutschland in Summe mindestens genauso viel Schmiergeld fließt wie in anderen Länder, bei denen wir uns immer über Korruption aufregen. Der Unterschied ist nur, dass es in Deutschland keine Alltags-Korruption gibt, bei der man z.B. den Sachbearbeiter bei der Zulassungstelle bestechen muss, damit man sein Auto anmelden kann. Aber dafür geht es hinter verschlossenen Türen in der Geschäftswelt und der Politik umso heftiger zur Sache ...

Sehr gut sieht man sowas ja auch bei diversen Politikern und Ministern, die teilweise haarsträubende Klientel-Politik machen und wenn Sie dann nach 4 Jahren endlich nicht mehr tragbar sind, tauchen sie instant bei den Firmen im Aufsichtsrat auf, für die sie vorher Politik gemacht haben. Dort bekomme Sie dann für drei Jahre ein unverschämtes Gehalt und werden danach nie wieder gesehen ...
Das ist in meinen Augen auch eine Form von Korruption!
Aber das Anti-Korruptionsgesetz des Bundestages ist da sehr liberal, was man so alles darf ...

[Andreas]

Der Kollege im Büro neben mir hat heute morgen gerade wieder so ein Paradebeispiel "deutscher IT" erlebt, der das ganze super zusammenfasst:

Sein Internetzugriff hat nicht funktioniert.
Als er das Rechenzentrum angerufen hat, bekam er die Antwort "Bitte schreiben Sie ein Ticket!"

Was soll man denn dazu noch sagen? Bei einer derartigen "IT-Administration" ist es egal, ob wir Windows, Linux oder DOS 3.11 verwenden ... 

[Philo]

2. Es ist ja politisch gar nicht gewollt auf Linux umzusteigen, siehe Limux etc., da wird lieber Geld in teure Supportverträge mit MS gesteckt - sicherlich fließen da auch noch anderswo einige Sümmchen;)

Das Projekt LiMux kannte ich noch gar nicht. Aber anhand dessen sieht man echt gut wie es von der Politik gar nicht gewollt wird/wurde.
Besonders erschreckend finde ich die ,,Kritik" der Alltagstauglichkeit der Linux-Notebooks. Da hat sich die Stadträtin (angeblich eine Diplominformatikerin) 2015 beschwert über fehlende Benutzerrechte: Sie konnte Skype nicht selbst installieren, was ihren normalen Gebrauch verhindere und das Notebook somit nur sehr beschränkt nutzbar wäre.
Puh also da fehlen mir als Laie irgendwie schon die Worte. Selbst unter Windows sollte doch ein User nur eingeschränkte Rechte haben um nicht alles wild zu installieren?

[Exciter]

Naja zu München braucht man auch gar nix mehr sagen

Die IT-Referentin der Stadt München


Philo

Ja, jeder halbwegs mitdenkende Admin legt auch für sich und Teammitglieder Client- und Serveradmins und ggf. noch Cloudadmins an - normale Benutzer erhalten quasi niemals Adminrechte - was aber teilweise in Unternehmen da abgeht*kopfauftisch*

[sibylla]

Die IT-Referentin der Stadt München

Si tacuisses ....
Ich hoffe, du nennst das nicht einen sachlichen Beitrag.
Mir kommen doch langsam Zweifel, ob das das richtige Forum für mich ist.

[Exciter]

Wenn dir deshalb Zweifel kommen, ob dies das richtige Forum für dich ist

Es spielt doch vordergründig keine Rolle ob der Beitrag sachlich ist oder nicht, hast du den Inhalt gelesen und verstanden?