Linux ist ein sicheres System, aber es gibt immer Optimierungsbedarf. Das starre Festhalten an überkommenen Prinzipien und ein geringer Veränderungsdruck – sowohl von innen als auch von außen – haben fragwürdige Praktiken einschleifen lassen. Transparenz wäre hier wichtig.
Anlässlich einiger Probleme mit Debian ist hier zuletzt einiges zum Thema Linux und Sicherheit erschienen. Dabei ging es primär um Debian, aber man kann das Problem mit Sicherheit auf andere stabile Distributionen, vor allem solche mit LTS-Modell übertragen. Im Folgenden möchte ich einige der Aussagen aus der Serie Debian und Sicherheit ein wenig einordnen.
Die Art wie Linux-Distributionen allgemein konzipiert sind und die Art wie LTS- bzw. Enterprise-Distributionen funktionieren, ist alt. Das grundlegende Konzept hat ungefähr 15-20 Jahre auf dem Buckel. Währenddessen hat sich bei der Softwareentwicklung viel getan und das lässt sich vor allem mit einem Wort zusammenfassen: Beschleunigung. Das stellt die Distributoren vor extreme Herausforderungen.
Meiner Meinung nach ist es völlig in Ordnung, wenn Distributionen dann einschränken müssen, wofür sie, wie lange Support anbieten können. Manche Projekte lassen sich nicht mit der verfügbaren Arbeitskraft oder schlicht einfach gar nicht angemessen im LTS-Support unterstützen. Die Serie ist keineswegs als Angriff auf diesen Umstand zu verstehen.
Aber wenn es eine Einschränkung gibt, dann muss diese für den Anwender transparent sein! Transparenz kann man auf unterschiedliche Art herstellen:
Radikale Transparenz bietet z. B. Red Hat, indem man alle anderen Programme und zuletzt sogar das komplette KDE aus der Unterstützung ausgeschlossen hat und diese Programme schlicht nicht ausliefert. Anwender, die das nutzen wollen, müssen die EPEL-Quellen einbinden, wodurch der geringere Supportstatus automatisch deutlich wird.
Einen Zwischenschritt macht Canonical mit der Trennung in main und universe. Bei der Serverinstallation aktiviert Ubuntu automatisch nur main und fährt deshalb für diesen Bereich eine ähnliche Strategie wie Red Hat. Aber auch sonst ist die Trennung deutlich und den Anwendern klar. Schon alleine, weil alle Supporter in den Supportforen ständig auf den Umstand hinweisen.
SUSE hat für die Enterprise-Version SUSE Linux Enterprise das Vorgehen von Red Hat übernommen. Die Community-Variant openSUSE hat seine LTS-Version faktisch mit SLE fusioniert. In den Paketquellen ist für Anwender ersichtlich, ob Updates von SUSE oder openSUSE stammen. Hier wäre aber in der Transparenz noch Luft nach oben.
Die Art, wie Debian hier die Probleme in den Release Notes versteckt und in den offiziell angebotenen Tools klein rechnet, ist keine Transparenz. Hier kommen sicher wieder welche mit dem Argument der Freiwilligkeit und dass Debian keine kommerzielle Distribution ist. Das halte ich für vorgeschoben. Ein Projekt das es schafft endlose systemd-Debatten zu führen und aufwendige alternative Systeme zu etablieren, das fein austarierte unterschiedliche Paketquellen für main, contrib und non-free anbietet, das könnte auch hier für mehr technische Transparenz sorgen.
Offene Kommunikation bei Problemen und Schwierigkeiten ist keineswegs eine Forderung, die ich jetzt nur in Bezug auf Debian erhebe. Im Frühjahr war ich bei meiner Lieblingsdistribution openSUSE nicht weniger zurückhaltend als man Schwierigkeiten bei Updates in Leap 15.3 einfach tot schwieg.
Open Source hat sich transparente Entwicklung und transparenten Umgang mit Problemen immer auf die Fahnen geschrieben. Man wollte weg vom Konzept der Security through obscurity. Genau deshalb gibt es offene Bugtracker und offene Listen der kritischen Fehler. Mit der Verschleierung von Problemen in der Distribution kehrt man faktisch zu diesem Konzept zurück und ist im Umgang mit Fehlern dann auch nicht besser als Apple oder Microsoft.
Das Eingeständnis mit einem Distributionskonzept an Grenzen gestoßen zu sein, ist der erste Schritt zur Erarbeitung von Lösungen. Verweigert man dieses Eingeständnis und redet man sich weiter ein, keine Probleme zu haben, ist das wenig seriös. Zumal weil viele dann auch noch glauben, es gäbe keine Probleme.
Ich finde, genau das sind die Fragen, die man stellen sollte, ja stellen muss. Für Windows-Anwender ist Linux etwas komplizierter und hie und da hakt es leider. Wechsler nehmen das nur in Kauf, wenn das Sicherheitsversprechen von Linux auch tatsächlich eingelöst wird („Da hier nicht nur ein Entwicklerteam, sondern Tausende von Programmierern und Entwicklern Zugriff auf den Quellcode haben, können Sicherheitslücken sehr schnell erkannt und dementsprechend auch behoben werden“, „die ganze Welt inspiziert Freie Software“ etc.). Anders ausgedrückt: Das Sicherheitsversprechen sollte sich nicht als Propaganda entpuppen. Doch an der Sicherheit gibt es, wie Du m.E. überzeugend dargelegt hast, nicht von der Hand zu weisende Zweifel.