Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Symbolbild "Fragezeichen"

Datenschützer empfehlen Linux - Die Gründe sind zweifelhaft

Linux hat im Desktopbereich einen verschwindend geringen Marktanteil, egal welche Statistik man zu Grunde legt. Wenn man sich durch die Blogs und Foren der "Datenschutz-Szene" sieht das aber ganz anders aus. Konkrete Zahlen liegen nicht vor, aber vermutlich nutzen mehr als 50% der Personen Linux als primäres Betriebssystem.

Die Gründe werden deutlich seltener thematisiert.

Meistens kommt zuerst ein lapidarer Verweis auf Open Source und die Freiheit des Entwicklungsmodells. Das ist ein Punkt, der viel zu wenig hinterfragt wird (siehe: Proprietär vs. Open Source – Die ewige Debatte um die Sicherheit &  Kommentar: Open Source ist gut für die Sicherheit - Oder doch nicht?). Natürlich ist es prinzipiell für die Sicherheit förderlich, dass der Quellcode frei zugänglich ist. Es ermöglicht unabhängige Audits, die nicht von der Gnade einer Firma abhängig sind und im Zweifelsfall kann der versierte Anwender selbst nachschauen. Faktisch sind die meisten, insbesondere die sicherheitskritischen, Open Source Projekte riesig. Kaum ein Anwender hat die Kenntnisse und die Zeit "mal eben" ein Projekt wie Firefox zu überprüfen. Gleichzeitig ist die Entwicklerzahl in vielen Projekten sehr gering, so dass ein Mehr-Augen-Prinzip kaum gewährleistet wird. Natürlich ist ein proprietäres Entwicklungsmodell mit nicht einsehbarem Quellcode nicht sicherer, der Verweis auf den offenen Quellcode ist ohne Berücksichtigung der realen Umstände jedoch ein Scheinargument.

Anders gelagert ist bei einer weniger ideologischen Argumentation. Linux-Distributionen sind im Prinzip Baukästen, bei denen man sehr viele Bestandteile ersetzen oder komplett weglassen kann. Im Gegensatz zu macOS oder Windows ist z. B. bei keiner Linux-Distribution ein Clouddienst fest in das Betriebssystem eingebunden. Weiterhin stehen in diesem modularen Baukasten leistungsstarke Verschlüsselungslösungen für Kommunikation, Daten und Betriebssystem zur Verfügung. Bei vergleichbaren Betriebssystemen trifft das nur für teurere Editionen zu oder gilt nur für Teile wie das eigentliche Betriebssystem. Linux senkt hier die Hürden zu weitergehenden Schutzmaßnahmen enorm.

Im Zusammenhang mit Windows 10 liegt der Fokus mal wieder auf Telemetrie-Daten und Datenabfluss. Wie sensibel das Thema inzwischen ist musste auch Canonical kürzlich feststellen. Es ist leider auch keineswegs so, dass unter Linux keine Telemetrie-Daten erhoben werden. Firefox ist sicherlich das prominenteste Beispiel für eine Open Source-Software, die per Opt-out-Verfahren Daten sammelt - es ist aber bei weitem nicht die einzige. Richtig ist hingegen, dass dahinter - auch bedingt durch die Fragmentierung in unterschiedliche Projekte - kein groß angelegter Plan zur Datensammlung steht.

Als vor über 15 Jahren Windows XP auf den Markt erlebte das Internet seinen vielleicht ersten großen Shitstorm, auch wenn man das damals noch nicht so bezeichnete. Windows XP nahm nämlich vielfältige Verbindungen ins Internet auf. xp-AntiSpy gehörte bald zur Basisausstattung vieler Systeme. Viele der Aufregerthemen von damals muten heute befremdlich an. Windows XP überprüfte erstmals die Lizenz online, nahm Kontakt zum Update-Server auf und hatte noch andere Funktionen wie einen automatischen Coverdownload integriert. Vieles davon ist heute selbstverständlich, so nehmen natürlich auch die meisten Linux-Distributionen Kontakt zu Servern auf. Updates der Paketdatenbank, Zeitsynchronisierung, automatischer Coverdownload bei vielen Musikplayern usw. usf. Bei allen diesen Verbindungen fallen potenziell Daten an, zur Zeit jedoch höchstwahrscheinlich nicht systematisch erfasst und vermutlich auch nicht statistisch verarbeitet. Wobei manche Distributionen immerhin ab und an einen Blick auf die Daten nehmen.

Ein beliebter Kritikpunkt ist, dass viele der großen IT-Giganten ihren Sitz in den USA haben (und inzwischen zunehmend auch in China) und damit den dortigen Gesetzen unterliegen - mit all den problematischen Implikationen. Das ist soweit nicht falsch, verkennt aber, dass Linux hier kaum besser dasteht. Red Hat - einer der wichtigsten Akteure im Linux-Bereich - sitzt in Nord Carolina, die SUSE GmbH gehört Micro Focus mit Sitz in Großbritannien. Einem Land mit einer Affinität zu weitreichenden Überwachungsgesetzen, der GCHQ stand nicht umsonst auch im Fokus der globalen Überwachungs- und Spionageaffäre. Man sollte sich da keine Illusionen machen, Linux wird schon lange nicht mehr von kleinen Hobbyentwicklern im Keller voran getrieben. Insbesondere in den zentralen Bestandteilen erfolgt die Entwicklung durch bezahlte Entwickler, die in Firmen angestellt sind, die ihre Sitze oft in den gleichen Staaten haben, wie die proprietären - vermeintlich nicht vertrauenswürdigen - IT-Giganten. Hier schließt sich dann der Kreis zum Anfang. Der offene Quellcode sollte gewährleisten, dass diese Firmen nichts schädliches einbauen. Doch geschieht das faktisch wirklich? Selbst so zentrale Bestanteile wie OpenSSL wurden schließlich jahrelang kaum angeguckt.

Große Probleme liegen zudem noch unterhalb des Betriebssystems. Es gibt kaum Hardware mit wirklich freier Firmware und Bestandteile wie Intel ME haben inzwischen komplette eigene Betriebssysteme. Selbst Hardware von in Linux-Kreisen traditionell populärer Anbieter ist da nicht besser. Umso wichtiger sind Projekte wie Purism oder Coreboot. Wer solch spezielle Hardware nicht besitzt, sollte sich also trotz Linux nicht zu sicher fühlen.

Linux ist trotzdem eine gute Grundlage. Vor allem durch die hohe Verfügbarkeit erweiterter Werkzeuge und den modularen Aufbau, der es ermöglicht unerwünschtes wirklich zu entfernen. Zudem können viele der hier geäußerten Kritikpunkte in manueller Kleinarbeit behoben werden. Linux ist aber kein abgeschottetes System, das keinen Kontakt nach außen aufnimmt und einmal generierte Daten, können prinzipiell auch irgendwann mal ausgewertet werden. Hier sollte man sich nicht zu sicher wähnen. Das Open Source-Argument sollte man mit zunehmender Komplexität der Software und Einfluss großer Unternehmen auf die Entwicklung auch nicht zu offensiv vor sich her tragen. Denn eigentlich sagt es kaum was aus.


Bilder:
Einleitungs- und Beitragsbild von qimono via pixabay

Tags: Sicherheit, Open Source, Proprietär, Linux, Datenschutz

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

Hallo Gerrit,
dass sind wirklich viele spannende Punkte die Du da gegen eine generelle gesteigerte Sicherheit von Linux anführst. Was ist aber mit dem Punkt, dass Linux-Desktop-Betriebssysteme generell sicherer vor Malware sein könnte, weil es aufgrund des geringeren Verbreitungsgrades einfach weniger adressiert wird? Ich denke das ist zumindest derzeit (noch) ein wesentlicher Sicherheitsfaktor insbesondere in stark Malware gefährdeten Szenarien wie z.B. Computer die mit fremden, externen Datenträgern verbunden werden (Drucker-PCs) oder solche die zum Lesen und Öffnen von E-Mail-Anhängen verwendet werden.

Gerrit
Stimmt, der Punkt fehlt.
Andi
Hey super Artikel, ich lese sehr gerne hier. Auch die geschickt gewählten Verweise sind wirklich sehr nützlich.

Ich persönlich nutze Debian Stable und fühle mich sicherer und denke auch das meine Daten besser geschützt sind als bei den Fenstern und den Äpfeln.

Vor kurzem habe ich mich bisschen mit FreeBSD und OpenBSD beschäftigt, aber das ist mir beides dann doch eine Spur zu komplex.

5000 Buchstaben übrig


  • 1

Über [Mer]Curius

Immer größere Teile unseres Lebens haben sich in den vergangenen Jahren digitalisiert. Es gibt heute unzählige Dienste und jeder Mensch hinterlässt permanent Spuren. Die Datensätze, die hier entstehen wecken viele Begehrlichkeiten. Es besteht aber auch die Möglichkeit durch gezielte Maßnahmen die eigene Datenspur zu minimieren und Daten effektiv und sicher zu schützen. Damit entgeht man zwar nicht jeder Überwachungsmaßnahme, erlangt aber zumindest teilweise die Kontrolle über die eigenen Daten zurück.

→ Mehr über [Mer]Curius