Betriebssystemsicherheit
Ein Betriebssystem muss zwei grundlegende Sicherheitsaspekte abdecken:
- Es hat die alleinige Kontrolle über die Hardware, auf der es läuft, jedes Anwendungsprogramm muss folglich Funktionen des Betriebssystemes nutzen, wenn es auf die Hardware zugreifen erfordert.
- Es hat die alleinige Kontrolle über alle Programme, und muss diese vor dem nicht genehmigten Zugriff aufeinander schützen.
Jedes Programm wird in einem separaten Bereich des Hauptspeichers (RAM) ausgeführt, wobei es selbst stets immer einen eigenen, meist sehr viel größeren virtuellen Speicherbereich sieht. Das verhindert das versehentliche oder absichtliche Überschreiben von Speicherstellen, aber auch das Auslesen von geheimen Daten aus anderen Programmen. Siehe auch Speicherschutz.
Unix-Systeme und deren Derivate haben grundsätzlich einen derartigen Mechanismus implementiert. Auf DOS-Systemen sowie Windows 3.x und 95-ME fehlt er.
Die aktuellen Entwicklungen im Bereich Betriebssystemsicherheit umfassen komplexe Techniken wie zufällige Positionierung von Code im Hauptspeicher, um gezielte Angriffe unwahrscheinlich werden zu lassen, rollenbasierte Zugriffssysteme, Sandkästen (virtuelle abgeschottete Umgebungen mit vorgekaukeltem eigenen Prozessor und Speicherplatz), Erkennungssysteme für Angriffe und die (gleichwohl in ihrer derzeitigen Umsetzung umstrittene) sichere Programmausführung.
Da Rechner mehr und mehr Angriffen aus dem Internet (aber auch lokalen Netzen) ausgesetzt sind, werden Betriebssysteme auch verstärkt mit Werkzeugen zur Netzwerksicherheit ausgestattet.