Hallo Christoph!

Erst einmal: ein sehr schöner Text!

Danke ;-)

Wäre es mir erlaubt, ihn in Auszügen und bei Gelegenheit zu zitieren?

logisch :)

Ich würde aber gerne noch etwas hinzufügen:

gerne ;-)

Es heißt immer, Linux sei im Gegensatz zu Windows virenfrei.

wer sagt das?

Keiner direkt, aber alle vermitteln den Eindruck. Ich finde man sollte dem vehement entgegenwirken.

Das stimmt wohl. Das sind immer die alten Flames, wo die Postings der "Linux-Hardliner" mehr schaden als nutzen.

Es gibt noch ein weiteres Problem bei Windowspatches, das viele Sysadmins behindert diese Patches rechtzeitig oder gar überhaupt einzuspielen: Seiteneffekte mit anderen Programmen.

Ja, mir ist das zwar erst recht selten passiert, aber man hört sehr oft das nach dem einspielen eines Service-Packs auf einmal viel mehr Probleme da sind als vorher, das darf nicht sein. Klar, das komtm meist von fremder Software, aber trotzdem ist es der OS-Hersteller schuld wenn Fremdsoftware derart negativen Einfluss üben kann.

"Keep your system up-to-date!" funktioniert nicht unter Windows.

Ja, dazu kommt das bekannte Sicherheistlücken oft erst Monate später oder gar nicht behoben werden.

Ich würde mal behaupten dass der typische Linux-Anwender ein erheblich höheres "algemeines Computer-Wissen und Sicherheitsbewußtsein" hat als der durchschnittliche Windows-Anwender, daher sind diese auch in der Lage ihr System erheblich sicherer zu konfigurieren.

So gerne ich sowas natürlich höre, doch entspricht es immer weniger der Wahrheit.

doch, ich denke schon, nur je einfacher Linux wird desto mehr nährt sich das an. Aber das ist ja auch das Ziel, mehr Anwender für Linux zu gewinnen, und meiner Meinung nach kann man nicht von jedem Anwender erwarten sich so mit dem System auseinander zu setzen wie Du oder ich. Und dann sind halt die Distributoren gefragt eine gleichzeitig einfache als auch sicher Installation zu gewährleisten, und da wird IMHO zur Zeit der faslche Weg eingeschlagen. Bei Red Hat kann ich während der Installation zwar Sicherheitseinstellungen machen, also welche Dienste erreichbar sein sollen, aber frag mich nicht warum, das schlägt sich dann nicht in der Konfiguration der Dienste oder den Startscripten nieder, sondern in Einträgen in iptables... das heißt die Dineste laufen, werden nur per "Firewall" geblockt. Das finde ich ziemlich dämlich. Was ich auch gut fände wäre eine einfache Möglichkeit die Dienste für eione lokalen Testbetrieb zu konfigurieren, also nur über localhost erreichbar, naja, iptables ist halt einfacher.

Die neuen Linuxdistributionen erlauben es auch einem blutigem Anfänger ein System zu installieren.(Teilweise, ach, was sga' ich da, meistens sogar einfacher, als eine Windowsinstallation ;-) Die Sicherheit liegt damit natürlich bei den Defaulteinstellungen der Distribution.

Trotzdem will ich meine Aussage über die "skills" der Anwender aufrecht erhalten. Im Prinzip fängt jeder erstmal mit Windows an, macht seine Erfahrungen und guckt sich dann vielleicht mal irgendwann Linux an. Die meisten PCs werden bei Aldi & Co. verkauft, da auch viel von Leute die mit "Computern/Internet anfangen", und da gibts dann immer Windows XP Home dabei.

Unangenehmes Beispiel: bei installiertem Wine wurde bei einer Distribution KMail erlaubt, entsprechende Dateien bei Klick auszuführen. Windowsviren können auch auf einem Linuxsystem viel Schaden anrichten!

Ich bin absolut kein Fan von solchen Emulationen. Daher verwende ich auch Linux weniger für meine "Desktop-Arbeit", das mache ich erst wenn  alle Programme die ich brauche auch für Linux verfügbar sind, bzw. die Openoffice-Kompatibilität zu MS Office verbessert ist.
Und hier liegt auch der Teufelskreis: Mehr Anwendungssoftware gibt es nur mit mehr Anwendern, mehr Anwender gibt es nur wenn es DAU-freundlicher wird, wenn es DAU-freundlicher wird, wird es unsicherer(nicht zwangsläufig, aber dank den großen Distributionen ist das IMHO leider so).
Was nichts daran ändert das ein DAU-Linux immer noch erheblich sicherer ist als ein DAU-Windows, zumindest im Moment.

Ein weitere großer Unterschied ist das die meisten Linux-Anwender sich auch an das Benutzerkonzept des Betriebssystems halten, was bei Windows oft nicht so ohne weiteres möglich ist, so dass IMHO die meisten privaten Anwender fürs tägliche arbteiten den Administrator-Account verwenden, so dass ein Angreifer mit sehr wenig Aufwand direkt volle Administrator-Rechte auf dem System erlangt.

Das ist noch nicht einmal derartig eingeschränkt: Man braucht nur irgendeinen Zugang und ein Programm mit Rootrechten (z.B. eine Firewall? >;-> ), das die Windows-GUI-Maschinerie benutzt.

Wieso? Also Win98 & Co. jetzt mal außen vorgelassen, dessen Benutzerkonzept ist ein schlechter Witz, wenn Win2000 auf einer NTFS-Partition installiert wurde, und man nicht als Administrator oder Hauptbenutzer arbeitet, wie soll eine Software dann so ohne weiteres Zugriff auf Administrator-Rechte erlangen, es sei denn durch irgendwelche Exploits? Aber sowas gibts auch unter Linux.

Bei den ganzen installierten DSL-Anschlüssen wundert es mich mittlerweile doch arg, das noch keine Firma mit einer eingebauten Firewall wirbt. (Zumindest habe ich noch keine gesehen)

Hm? Meinst Du jetzt im Modem oder in einem Router? Bei Modem weiß ich nicht, aber ich glaube fast sowas schonmal gelesen zu haben, auf alle ist das bei Routern und Modem/Router Kombis doch inzwischen Standard, oder?

Diese Stelle (der DSL Router) wäre nämlich geradezu ideal!

ja, ich habe mir letztens einen Router für 35 EUR besorgt, der hatte sogar speziele Fiter-Funktionen eingebaut, was ich aber erst beim Versuch die zu verwenden festgestellt habe - um die zu nutzen muss man erstmal in Internet eine Lizenz für 29 EUR erwerben, eine Unverschämtheit :(

Aber auch ohne spezielle Filter, der Router an sich ist ja eine hervorragende Firewall, da er es nicht zulässt dass man von außen eine Verbindung zu einem Rechner hinter dem Router aufbaut. Der Router akzeptiert nur Antworten auf vorherige Requests.
Wenn ich will das mein Apache oder mein SSH von außen erreichbar wird, dann muss ich für den Port manuell eine entsprechende Weiterleitung einrichten (port forwarding). Und das ist ja auch logisch, nach außen  hat das gesamte LAN hinter dem Router ja nur eine IP, die des Routers, wenn ich jetzt eine Verbindung zu einem Rechner hinter dem Router herstellen wil - woher soll der Router wissen zu welchem davon? Daher muss man dem das sagen.
Und das ist das gute, sollte man sich tatsächlich mal ein Backdoor-Programm eingefangen haben, dann kann das zwar nach außen kommunizieren, nur kann der Angreifer keine Verbindung zu dem Tool herstellen, zumindest solange kein Port(am Router) offen ist.

Solange die Dienste nur mühselig via /etc/rc* (und teilweise sogar an vielen Stellen mehr) einzurichten sind ist das Bemühen der Distributoren diesen Vorgang zu vereinfachen verständlich.

Finde ich nicht. Hinzufügen zu /etc/rc*.d passiert doch heut zu Tage über bequeme Oberflächen, bei Redhat klicke ich auf Systemeinstellungen->Dienste und da kann ich für jedes Runlevel einstellen, welche Dienst gestartet werden, und dieses Programm bearbeitet dann das Verzeichnis dem entsprechend. Das ist doch supereinfach zu bedienen, finde ich zumindest. Ich finde das automatische Starten der viele Dienste einfach unnötig.

Sie sollten aber wirklich dazu übergehen, diese Dienste zwar komplett einzurichten, aber nicht mehr automatisch zu starten. Eine kleine Notiz beim Installieren wäre da wohl nicht verkehrt. Bedeutet zwar etwas mehr Mühe für den Benutzer, aber diese Mühe ist durchaus ökonomisch vertretbar.

Ja, das sehe ich genau so. Vor allem braucht der normale Desktop-Anwender keine Dienste die irgendwelche Ports abhören, und wenn er in einem Firmennetzwerk irgendwas braucht dann sollte das der Admin einstellen.

Wiegt man sich mit Linux in einer zweifelhaften Sicherheit?

Wenn man glaubt dass man einfach eine CDs reinschiebt, eine Standardinstallation durchführt und dann nix mehr passieren kann, komme was wolle, dann wiegt man sich definitiv in einer trügerischen Sicherheit, ähnlich den Windoiwes-Anwendern die glauebn nach de Installation eienr Firewall sei alles erledigt.

Nunja, nach der Installation von OpenBSD ... achso, geht um Linux ;-)

;-) Ich kann auch Linux so installieren dass es auf keinem Port lauscht, aber das ist eben nicht "standard".

So, das war anscheinend etwas zu viel, mehr wollte ich jetzt nicht rauskürzen, also siehe Teil 2 ;-)