Es gibt eine Auswertung des NIST (National Institute of Standards and Technology) in Bezug auf entdeckte Schwachstellen, die unter anderen auch deren Zahl über die letzten 20 Jahre zwischen Linux, macOS und Windows vergleicht.
Anzeige
Der Report der NIST lässt sich hier abrufen, wobei sich allerlei interessante Einblicke ergeben.
Schwachstellen pro Hersteller und Produkt
Schaut man in folgende Liste, erkennt man, dass Microsoft im Zeitpunkt zwischen 1999 und 2019 das Unternehmen mit den meisten Schwachstellen war. Aber bezogen auf die Schwachstellen/Produkt steht Redmond dann doch wieder gut da. Da sticht Linux mit 139.4 Schwachstellen pro Produkt und 2.370 Schwachstellen hervor – wobei mir unklar ist, wie diese 'Vulnerability per Product' genau ermittelt wird (so dass diese Aussagen wenig hergeben).
Sicherheit bei Produkten
Viel spannender fand ich dann die Auflistung der Schwachstellen in Produkten über 20 Jahre und im Jahr 2019. Linux ist das Betriebssystem, welches in beiden Kategorien ganz vorne mit dabei ist, wobei Googles Android 2019 den Spitzenplatz behaupten kann. Während Apples macOS X in den letzten 20 Jahren noch auf Platz 4 rangiert, ist es 2019 in der Tabelle der Top 20 nicht mehr vertreten.
Anzeige
Ein Problem ist aber, dass man da irgendwie munter Sachen mischt. Windows 10 ist erst seit 2015 auf dem Markt, während Windows 7/Server 2008 seit 10 Jahren verfügbar sind. Linux ist sogar noch älter.
Was für mich aber auffällig ist: Es wird ja gerne behauptet, dass moderne Produkte sicherer seien. Gehe ich in die obere Tabelle mit den Daten zu den gefundenen Schwachstellen aus 2019, und vergleiche Microsofts Produkte, tauchen dort Windows Server 2016, Windows 10 und Windows Server 2019 auf. Die alten Betriebssystem-Versionen Windows 7, Windows Server 2008, Windows Server 2012 und Windows 8.1 liegen in Bezug auf gefundene Schwachstellen auf den hinteren Rängen. Kann natürlich sein, dass diese Alt-Betriebssysteme nicht mehr so intensiv auf Schwachstellen abgeklopft werden. Für 2019 rangieren Ubuntu und Fedora in Punkto Zahl der Schwachstellen übrigens auf den unteren Plätzen. Generell sollte man aber solche Zahlen mit Vorsicht betrachten.
Schwere der Sicherheitslücken
Interessant finde ich die nachfolgende Auflistung, die nicht nur die Zahl der gefundenen Schwachstellen als Rangfolge auflistet, sondern deren Schwere mit einbezieht.
An der Tabelle erkennt man, dass Windows (mit Ausnahme alter Versionen wie Windows XP und davor) nicht das Problem ist. Neben dem Adobe Flash Player und dem Acrobat-Zeug ist auch Microsoft Office in den letzten 20 Jahren ganz vorne in Sachen schwerer Sicherheitslücke mit dabei. Weitere Details lassen sich dem Bericht hier sowie diesem Artikel entnehmen.
Anzeige
Den Bericht auf Heise hast du gesehen?
https://www.heise.de/security/meldung/Debian-ist-eher-nicht-das-unsicherste-Betriebssystem-der-letzten-20-Jahre-4679682.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag
trau keiner Auswertung/Statistik ;-)
Ist immer schwer solche "Statistiken" richtig zu deuten. Man kann schnell mal die Behauptung in den Raum werfen, dass von einer Seite versucht wird die Andere schlechter darzustellen, als sie vielleicht ist. Wenn man sich die zunehmenden Berichte über Benutzerfreundlichkeit von Linux am Desktop anschaut, gelegentlich auch selber mal wieder die Bedeinbarkeit getestet hat, wird man schnell feststellen, dass Linux für den einfachen Anwender vollkommen ausreichend und einfach bedienbar erscheint. Die letzten 10 Jahre hat sich eine Menge getan und so langsam sickert dass bis zum gemeinen User auch durch. Privat im familiären Umfeld habe ich selbst schon einige ältere Geräte auf Linux umgestellt, da mit Windows zum Beispiel ein angenehmes, halbwegs flüssiges Bedienen kaum noch gegeben war. Bisl Briefe schreiben, im Internet surfen und Videos schauen geht locker auf ner 8-10 Jahre alten Kiste mit Linux wohingegen mit Windows 10 da kaum noch was zu machen ist. Warum alle 2-3 Jahre neu kaufen, nur weil die Systeme immer aufgeblähter und lahmer werden? Die Frage stellen sich inzw. viele in meinem Umfeld.
Was man vielleicht im ersten Moment komplett vergißt, dass am Beispiel Linux der Quellcode ja offen ist und das vielleicht auch der Grund sein kann, dass Schwachstellen eher und schneller aufgedeckt und zumeist auch zügig gefixt werden. Es wird viel offener kommuniziert, als bei Systemen wie Windows, wo mit Sicherheit viel hinter verschlossenen Türen passiert und nie ein Mensch davon mitbekommt.
Man kann es auch quasi so deuten, dass viele endeckte Schwachstellen (sofern auch behoben) im Endeffekt für ein sichereres System stehen könnten.
Ich stell mal eine Frage in den Raum: "Wer finanziert denn NIST und wer hat evtl. finanzielles Interesse daran, dass sich an der Verteilung eines bestimmten Systems nichts ändert, bzw. wer ist interessiert daran ein "evtl. sogar sichereres OS" (in meinem Beispiel Linux) klein zu halten?"
Ein 8 Jahre altes Gerät braucht keineswegs lahm zu sein, auch unter Windows nicht. Meist ist einfach das RAM zu knapp bemessen. Oder die Windows-Update-Suche läuft Amok und lastet die CPU stundenlang zu 100% aus (was aber aktuell nicht mehr so oft vorkommen soll).
Dass da drauf Linux schneller läuft, dürfte schlagartig vorbei sein, sobald eine neue 64bit-Version aufgespielt wird. Mit dem Ende der 32bit-Unterstützung ist der Traum von den bescheidenen Systemansprüchen eines Linux endgültig ausgeträumt.
Ich habe ein Windows 10 1909 auf einem wirklich alten HP EliteDesk 7800 laufen. 4GB RAM und eine SSD und los geht's. Überhaupt kein Problem. Einzig die Grafikkarte ist nicht mehr mit Google Earth kompatibel. Alles andere geht.
Also bekanntermaßen werden ja Umfragen und Statistiken so hingebogen, dass sie das vom Auftraggeber gewünschte Ergebnis zeigen.
Aber diese "Statistik"verdient ja noch nicht mal die Bezeichnung. Da wurde so derart viel vermischt, was sich nicht mal ansatzweise vergleichen lässt. Das schmerzt schon bei der einfachen Betrachtung.
Dumme Frage: Wer hat denn diese Statistik eigentlich in Auftrag gegeben?
Das würde mich auch interessieren…
Goldene Statistik Regel:
Traue keiner Statistik, die du nicht selbst gefälscht hast!