Wer mag, hinterlegt ein Skript in den Autostart-Routinen von Windows, sodass sich Winget ohne das Zutun des Nutzers um die Auffrischungsvorgänge kümmert. Nach dem Motto: Einmal etwas Gefrickel, danach geht der Automatismus in die Richtung "volle Sicherheit, null Stress".

Der Einfachheit halber lässt sich jedoch von (Betriebs-)System sprechen; die Rolle von Letzterem nehmen hier streng genommen die Distributionen (auf Basis) von Linux ein: Sie setzen auf einem Linux-Kernel in einer bestimmten Version auf und packen weitere Komponenten wie insbesondere eine Desktop-Bedienoberfläche obendrauf, etwa GNOME, KDE Plasma oder MATE. Während Linux angesichts der es bedrohenden Malware-Flut, die diesen Namen hier praktisch nicht verdient, weniger gefährdet ist als Windows – und es insofern durchaus okay ist, Linux als sicherer einzustufen –, bringt Windows bordseitig das bessere Arsenal an Schutzwerkzeugen mit. Beispiele dafür sind der MS Defender als Virenschutz, der SmartScreen-Filter, die UAC (Benutzerkonten-Steuerung) und Anti-Phishing in MS Edge.

Es wäre leichtsinnig, wenn Ihnen an einem dauerhaft hohen Schutzlevel Ihres Rechners gelegen ist, mit Linux unvorsichtig zu surfen und Standard-Security-Maßnahmen in den Wild zu schlagen. Ein Sicherheitsbewusstsein sollte auch aufseiten von Linux-Usern vorherrschen, ansonsten bröckelt die systemseitig schon recht solide von Malware abgeschottete Surf-Station. Im Folgenden haben wir zehn Punkte herausgearbeitet, die das unterstreichen: Wir zeigen einige Kuriositäten (Features) im Kontext von Linux und berichten über Havarien, die zeigen, dass es nicht unverwundbar ist.

1. Sicherheitslücken im Kernel und in Drittanbieter-Programmen

Es werden immer wieder Sicherheitslücken im Kernel (dem Kern, so etwas gibt es auch bei Windows) von Linux bekannt, die Sie mithilfe von System-Updates schließen sollten. Die Existenz dieser Lücken ist nicht dramatisch – wenn Sie sich schnellstmöglich um das Abdichten kümmern. Eine fehlerfreie Software wie der Linux-Kernel, die aus einem ungeheuer komplexen Code-Konglomerat besteht, ist illusorisch. Die Anfälligkeiten rangieren durchaus auf dem Gefahrenlevel "Alarmstufe Rot". Doch lassen sie sich aufgrund des Linux-Open-Source-Charakters tendenziell schnell (manchmal aber auch nach gefühlt einer halben Ewigkeit) entdecken. Daneben bilden noch BIOS-/UEFI-Lücken Einstiegspunkte für Cracker und Schädlinge, doch sind entsprechende Angriffe wohl meist schwieriger auszuführen als solche, die auf "offene Türen" im System selbst und auf nicht gut abgesicherte Drittanbieter-Programme zielen.

Empfehlung für die Sicherheit: Nehmen Sie unter Linux System-Updates mit, ferner für Ihre dort installierten Programme. Auch deren Plug-ins etwa im Webbrowser verdienen in der Hinsicht einen näheren Blick. Ebenfalls lohnen sich Auto-Update-Installationen. Theoretisch lassen sich zwar Schadanwendungen über Auto-Updates einschleusen, doch passiert das praktisch nie und der User hat ohnehin kaum eine Möglichkeit, womöglich kompromittierte Updates auf Basis eines gekaperten Update-Servers als böswillig zu identifizieren. Finger weg von veralteten Linux-Distributionen, die weder einen Nachfolger-Point-Release noch einen größeren Major-Release erhalten: Ist die Entwicklung eingestellt, verharren Sie damit sonst auf einem im Laufe der Zeit immer mehr überholten Software-Stand. Dann haben auf Linux spezialisierte Angriffsmethoden leichteres Spiel. Linux-OS verschwinden mitunter von der Bildfläche, da der Entwickler das Handtuch wirft – vor allem bei Ein-Mann-Programmierung oder bei kleineren Developer-Teams lässt sich der Pflegeaufwand in der Rolle des Distributors nicht immer gut stemmen.

2. Selbst wer meint, kein Linux zu nutzen, hat es (wohl) – und sollte Lücken fixen

Router und Internet-of-Things-Geräte (IoT) nutzen intern häufig einen Software-Antrieb auf Basis von Linux. Deren Anbieter entwickeln das Firmware-Rad also nicht neu, sondern setzen auf Bewährtem auf. Dagegen ist nichts einzuwenden. Leider ist der Update-Hahn vor allem bei Billigware kurz nach dem Produkt-Release bereits zugedreht. Das Entwickeln von Gratis-Updates gegen Sicherheitslücken bringt den Hardware-Produzenten immerhin kein Geld mehr ein, sondern ist ein Kostenfaktor. Sicherer sind Sie mit Produkten von größeren, hiesig agierenden Herstellern wie im Router-Bereich etwa AVM unterwegs. Bei denen ist es anzunehmen und die Erfahrung zeigt, dass Aktualisierungen ankommen. Wie lange, das hängt vom Unternehmen und von dessen spezifischen Produkten ab.

Empfehlung für die Sicherheit: Stellen Sie in den Web-Interfaces Ihrer (Linux-basierten) Geräte, auch wenn Linux als Backend nicht erkennbar ist, Auto-Updates ein. Auch eine Option wie "Benachrichtigen, wenn Updates verfügbar sind, und diese manuell einspielen" ist besser als "Update-Suche deaktiviert". Devices, die wegen von Anfang an nicht ausgelieferten oder aufgrund von weggebrochenen Aktualisierungen gefährdet sind, isolieren Sie bei Internetkontakt in das Gastnetz Ihres WLAN-Routers.

3. Linux Mint gehackt

Das Hashen bringt nichts, wenn es einem böswilligen Hacker gelingt, neben einem manipulierten ISO auch einen zugehörigen Hash-Summenwert auf einem gekaperten Server einzustellen. Für pessimistische Naturen stellt das Hashen dennoch ein valides Mittel dar.

4. Free Download Manager gehackt

Empfehlung für die Sicherheit: Bleiben Sie auch unter Linux bei der Webnutzung wachsam sowie in Bezug auf neue Software skeptisch. Fragen Sie sich, ob Sie eine neue Anwendung, die Sie anspricht, tatsächlich benötigen. Als seriös geltenden Applikationen merken Sie es nicht unbedingt an, wenn sie in einer infiltrierten Fassung vorliegen.

Doch zur Wachsamkeit sollte auch gehören, aufmerksam Sicherheits-News zu lesen und im Fall der Fälle genutzte Passwörter zu ändern. Diese einfach so regelmäßig auszutauschen, gilt mittlerweile als überholt, ergibt aber als Maßnahme nach einem Angriff (durch desolate Software) auf Ihren PC oder auf einen Server, bei dem Sie sich anmelden, noch immer Sinn; trotz einer Zwei-Faktor-Authentifizierung beim Login.

5. Kein Virenschutz eingebaut = kein Ding (aber für Dual-Boot-Windows problematisch)

In Linux steckt kein Virenschutz, mit anderen Worten: kein Virenscanner mit Echtzeit-Prüfungs-Engine; OAS genannt, On-Access-Scanner. Das ist unproblematisch, da es für die entsprechenden Betriebssysteme nur wenig Schadcode gibt. Doch geben Sie Dateien an Windows-Nutzer oder an sich selbst weiter, wobei Windows auf einem separaten PC oder innerhalb einer Dual-Boot-Partition zum Einsatz kommt, sollten Sie Ihre Files eventuell auch unter Linux scannen. Die Elemente sind möglicherweise verseucht.

Bei vorhandener Gefahr verzichten Sie auf den Files-Transfer. Unter Windows würde der hier ab Werk installierte Defender zwar wohl Malware-Threats erkennen und abwehren, in Stein gemeißelt ist das aber nicht. Etwaige bösartige Dateien, die für Windows gemacht sind, dürften indes unter Linux funktionsunfähig sein; vor allem, wenn sie im EXE-Format vorliegen.

6. Windows-Schädlinge laufen, wenn man es darauf anlegt

Es gibt durchaus auch Linux-Schädlinge, obgleich diese mit der Lupe zu suchen sind. Zu ihnen gesellt sich Windows-Malware, die Sie unter Linux eigentlich nicht ausführen, das jedoch durchaus schaffen, wenn dies Ihr Ziel ist: Wine macht es möglich. Die Kompatibilitäts-Software bringt vor allem ältere Windows-Programme zum Laufen und kommt in der Regel zum Einsatz, um legitimen Code zu verwenden. Wine ist eine in puncto Ressourcenlast schlanke Alternative zu einer Virtualisierung von Windows unter Linux.

7. Wer auf Teufel komm raus unvorsichtig surft, verliert: Linux ist infizierbar

Surfen Sie in der Hoffnung, Linux zu verseuchen, mit Ihrer Distribution unvorsichtig? Dann schnappt sicherlich irgendwann mal ein Schädling zu. Das passiert zwar wohl später als bei Windows (bei auch hier nicht umsichtiger Verhaltensweise), aber Linux ist nicht unangreifbar.

8. Heimliches Speichern von Text in der Zwischenablage

Empfehlung für die Sicherheit: Drücken Sie selbst probeweise mal die mittlere Maustaste. So erfahren Sie, ob womöglich vertraulicher Text im Systemspeicher schlummert. Markieren Sie anderen – belanglosen – Text, überschreibt er in der geheimen Zwischenablage den darin schon vorhandenen; per Mausrad-Klick verifizieren Sie das am besten. Sorgen Sie dafür, dass niemand Zugang zu Ihrem Computer erhält, dann ein distributionsabhängig vorhandenes "Clipboard 2.0" kein Drama.

9. Malware-Schutz ist top, aber Phishing ist OS-übergreifend desaströs

Linux ist gut vor Viren, Würmern, Trojanern et cetera gefeit. Doch Phishing-Tricks funktionieren bei Computernutzern mit dem System dennoch, wenn mal der URL-Blacklist-Filter des Browsers versagt und er in der Folge eine manipulierte Bank- oder Bitcoin-Finanz-Website durchlässt.

Empfehlung für die Sicherheit: Phishing funktioniert betriebssystemunabhängig. Geben Sie nicht leichtfertig auf Webseiten, die Sie über eine Suchmaschine gefunden haben oder die in E-Mails verlinkt sind, Ihre Daten ein. Surfen Sie die Website etwa Ihrer Bank per direkter URL-Eingabe oder per Browser-Lesezeichen an. Die internen Adressen, auf die Bookmarks verweisen, lassen sich zwar manipulieren, doch das ist nicht unbedingt Alltag. Insofern bieten sich Favoriten an, um Phishing-frei im Netz zu navigieren.

In einem Punkt in Sachen "Lug und Trug" ist Linux im Vorteil: Manchmal imitieren Fake-Webseiten ein Fenster im Design von Windows, sie wollen Ihnen meist weismachen, Ihr Microsoft-Betriebssystem würde (angeblich vorhandene) Schadprogramme melden. Da das Fensterdesign von demjenigen von Linux grandios abweicht, entlarven sich derlei Tricksereien hier von der ersten Sekunde an von selbst. Da offenbar kein Auslesen und keine Interpretation des User-Agents des Browsers erfolgt, erkennen entsprechende zwielichtigen Websites die beim User vorhandene Linux-Installation nicht – und liefern keinen hierfür designierten Fake-Content aus. Linux-Anwender wären aber vermutlich schlau genug, auf solchen Unsinn nicht hereinzufallen.

10. Zu viel mit dem Sudo-Recht arbeiten

Empfehlung für die Sicherheit: So, wie Sie unter Windows etwa Browser ohne triftigen Grund nicht als Administrator-EXE-Prozesse im RAM (Arbeitsspeicher) betreiben sollten, was clientabhängig zum Glück teilweise mittlerweile unmöglich ist, sollten Sie auch unter Linux nicht (nahezu) permanent mit erweiterten Befugnissen agieren. Setzen Angreifer bei einer derart laufenden und gekaperten Anwendung an, wollen Sie sich nicht ausmalen, was passiert.