Kommentar: Linux zwischen Datenschutz und Entwicklerbequemlichkeit

Bild von 3dman_eu via pixabay / Lizenz: CC0 Public Domain

Bild von 3dman_eu via pixabay / Lizenz: CC0 Public Domain

Sucht man nach Anleitungen um Windows hinsichtlich des Datenschutzes abzuhärten stößt man oft auf den den abschließenden Hinweis, dass die Möglichkeiten Windows abzusichern doch nur begrenzt seien und langfristig Linux der einzige sichere Hafen ist. Unabhängig von der Tatsache, dass man Windows - und hier natürlich insbesondere Windows 10 - tatsächlich nur noch bedingt gegen Datenabfluss absichern kann, stellt sich hier die Frage, ob Linux wirklich so datenschutzfreundlich ist.

Grundsätzlich muss man erst einmal differenzieren, wo man die Bedrohung sieht: Möchte man seine Daten gegen Schadsoftware, vor implementierter Telemetriedatenerhebung, vor Entwicklern oder gegenüber dem Staat schützen? Maßnahmen helfen hier nämlich nicht pauschal gegen jedes dieser Bedrohungsszenarien.

Das einfachste Bedrohungsszenario zuerst: Gegen staatliche Überwachung wehrt man sich am besten durch Teilnahme am politischen Prozess. So abgedroschen das auch klingen mag, aber gegen geheimdienstliche Überwachung kann sich der normale Anwender nicht schützen. Keine Verschlüsselung bietet hundertprozentigen Schutz und keine Software - Open Source oder nicht - schützt einen vor Funkzellenabfragen und ähnlichem.

Schadsoftware ist allerdings eine Bedrohung für jedes Betriebssystem. Es gibt keine hundertprozentig fehlerfreie Software. Ich halte es auch für fragwürdig, ob Open Source ein so viel besseres Entwicklungsmodell ist. Faktisch ist Linux auf dem Desktop aber deutlich weniger dem Druck von Schadprogrammen ausgesetzt, als beispielsweise Windows. Wenn man sich vor Cryptotrojanern und ähnlichem schützen möchte, ist Linux momentan also vermutlich eine praktikable Alternative - einfach weil man sich dem Bedrohungsszenario ausweicht.

Die massenhafte Erhebung von Telemetriedaten, wie sie bei konkurrierenden proprietären Betriebssystemen erfolgt, ist bei Linux kein Thema. Durch die Fragmentierung in viele große Distributionen fehlt hier die dominierende Instanz, die eine solche Telemetriedatenerhebung durchsetzen und eine Auswertung vornehmen könnte. Durch die modulare Struktur großer Linuxdistributionen besteht für versierte Anwender immer die Möglichkeit problematische Bestandteile zu entfernen.

Die Linuxanwender sind zwar vermutlich mehrheitlich sensibler für Sicherheits- und Datenschutzthemen, als die Anwender anderer Betriebssystemen. Ob das aber auch für alle Firmen hinter Linux gilt, darf man doch zumindest in Zweifel ziehen. Episoden wie die Shopping-Lense liegen noch nicht so lang zurück und mit beispielsweise GeoIP-Abfragen und Zeitgeist fallen auch auf vielen Linux-Systemen sensible Daten an - sie werden halt noch nicht zentral gesammelt.

Außerdem sind viele Entwickler hinter Open Source Software für Datenschutzfragen bei weitem nicht so sensibilisiert, wie viele Anwender sich das wünschen. Der inflationäre Einsatz von Social Networks wie Google+ für die Kommunikation mit Entwicklern, oder Stack Exchange für Supportanfragen spricht da Bände. Herkömmliche Mailinglisten und dezentrale Kommunikationsformen verlieren an Bedeutung.

Eine umfassende Evaluation freier Software hinsichtlich der Erhebung und Weiterleitung von Telemetriedaten steht zudem noch aus. Mozilla-Produkte wie Firefox erheben nämlich beispielsweise solche Daten durchaus, auch wenn der Nutzer darauf hingewiesen wird und dies in den Einstellungen deaktivieren kann.

Linux ist gegenwärtig aufgrund des geringen Wahrscheinlichkeit mit Schadsoftware befallen zu werden und der fragmentierten Anbietersituation recht attraktiv für datenschutzaffine Anwender. Man sollte daraus aber keine grundsätzliche Überlegenheit herleiten. Viele große Firmen hinter Linux räumen Datenschutz keine größere Priorität als andere Marktteilnehmer ein und nicht jeder Entwickler räumt dem Thema die gleiche Priorität ein. Wenn Anwender für Support und Kontakt zu den Entwicklern auf Konten bei großen Social Media-Netzwerken angewiesen sind, kann man die Bedeutung von Datenschutz für die jeweiligen Anbieter durchaus infrage stellen.

Kommentare

tux.

Zitat:
Linux ist gegenwärtig aufgrund des geringen Wahrscheinlichkeit mit Schadsoftware befallen zu werden
Schon falsch. Linux ist wegen des Marktanteils auf dem Servermarkt (da, wo die richtig dicken Leitungen und Daten liegen) sogar noch deutlich attraktiver als Windows - und natürlich vergeht kein Tag ohne neue Linuxmalware. Und wirklich schwer ist das nicht ... ;-)

Gerald

Man darf nicht nur die Wahrscheinlichkeit für Softwarefehler (die überall vorhanden sind) und deren Ausnützung durch Schadsoftware oder Hacker ansehen, sondern muss auch die möglichen Folgen berücksichtigen.

Und da ist es praktisch unmöglich, soferne man sein Linux nicht quasi absichtlich kaputt konfiguriert hat, die komplette Systemkontrolle zu übernehmen, ganz im Gegensatz zu Windows, wo Microsoft ganz offiziell in etwa jedem zweiten Patchpaket ein Update gegen "eine Lücke, mit der die Kontrolle über das System erlangt werden kann" anbietet.

Das ist ungefähr so, wie die Warnung vor unsicheren Fluglinien, während 1000e Tote im Straßenverkehr weltweit jeden Tag "völlig normal" sind.

Tronde

Das Thema Datenschutz ist denke ich längst noch nicht in allen Entwicklerköpfen angekommen. Wie sollte es auch? Galt doch in den letzten 10 Jahren eher das Mantra Software so schnell wie möglich zu entwickeln, zum Kunden zu bringen und dort reifen zu lassen.

Niemand hat von einem Entwickler verlangt sich darüber Gedanken zu machen, wann Daten anfallen, wo diese gespeichert werden, wer darauf zugreifen kann, etc. pp. Das eigene Produkt musste schneller am Markt sein, als das der Mitbewerber. Dies betrifft vor allem kommerzielle Software, doch auch Open Source Software blieb in meinen Augen von diesem Mantra nicht verschont.

Neben dem nicht hinreichend berücksichtigten Datenschutz zieht dies noch weitere Probleme wie z.B. schlechte und unzureichende Dokumentation von Software nach sich. In Zeiten wo Release-Zyklen immer kürzer werden, machen sich immer weniger Unternehmen und Community-Projekte die Mühe qualitativ hochwertige Manpages oder Online-Dokumentationen zu erstellen. Schließlich ist die Software ja schon zwei Versionen weiter, bevor die Doku fertig ist.

Ein Vorteil in der Nutzung von Linux liegt in meinen Augen darin, dass Betriebssystem deutlich stärker an die eigenen Bedürfnisse anpassen zu können, als andere proprietäre Betriebssysteme. Die Verbreitung von Linux auf dem Desktop ist so gering, dass man aktuell nicht wirklich im Fokus von Malware-Attacken liegt. Malware, welche Schwachstellen in Browsern oder weit verbreiteter Anwendungssoftware ausnutzt, interessiert sich jedoch nicht zwingend für das darunter liegende Betriebssystem, um ihre Wirkung entfalten zu können.

Im Serverbereich sehe ich es ähnlich wie tux. Hier heißt es verfügbare Updates so schnell wie möglich auf System zu bekommen, ohne dieses durch die Updates zu brechen. Wenn es einem Angreifer gelungen ist eine Webanwendung zu kompromittieren, vertraue ich selbst dem darunter liegenden Betriebssystem auch nicht mehr. Egal, ob dies ein Linux oder ein anderes OS ist. Ich schlafe deutlich besser, wenn der betroffene Host komplett aus dem Rennen genommen wird.

Gerald

"Keine Verschlüsselung bietet 100%-igen Schutz", kommt darauf an, was gemeint ist. Mit einem Passwort "1234" oder einem sorglosen Umgang damit sicher nicht. Auch ein Keylogger könnte das Passwort abfangen.

Bei einem direkten Angriff schon, soferne die Verschlüsselung nicht (absichtlich) falsch implementiert ist. Alles Andere sind möglicherweise Gerüchte durch die Geheimdienste selbst: "Leute, spart euch das Verschlüsseln. Wir können eh alles knacken." - Ja, wenn wir unsere gesamte Rechenpower auf einmal auf deine Festplatte loslassen, haben wir sie in 3 Jahren geknackt. Vielleicht. Wahrscheinlich aber ein paar Zehnerpotenzen später.

Und selbst, wenn es nur Wochen dauern würde, ist das zu langsam und damit nicht mehr sinnvoll. Das heißt, selbst wenn man von einer Verzehnfachung der Rechenleistung pro Jahrzehnt und einer einmaligen Vertausendfachung beim Sprung auf Quantencomputer ausgeht, sind heutige Verschlüsselungen noch ein paar Jahrzehnte lang vorm Knacken gefeit. Und natürlich hindert mich niemand daran, in ein paar Jahren eine bessere Verschlüsselung einzusetzen und meine Daten umzukopieren.

Kommentar schreiben

Sicherheitscode

Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top