Bei der Diskussion um das Thema IT-Sicherheit erlebt man immer wieder, dass Freie Software als ein gesonderter Fall betrachtet wird. Oft werden Sicherheitsfehler in Freier Software fälschlicherweise dem allgemeinen Konzept der Software-Freiheit angelastet. Leider verfällt auch der Artikel „Open Source wird ein ernstes Problem“ im Handelsblatt in ein ähnliches Denkmuster. Ein Leserbrief an das Handelsblatt blieb unbeantwortet. Daher freue ich mich darüber, den Leserbrief als Gastkommentar auf netzpolitik.org veröffentlichen zu dürfen. Ich hoffe, die Veröffentlichung trägt dazu bei, dass es in Zukunft weniger solcher Missverständnisse gibt.

Dies ist ein Gastbeitrag von Björn Schießle. Björn ist stellvertretender Koordinator des deutschen Teams der Free Software Foundation Europe.

Ich war überrascht zu lesen, dass sich die Einschätzung, Freie Software (auch Open Source Software genannt) würde ein ernstes Problem für die Sicherheit darstellen, einzig und allein auf die Aussagen des Chief Security Officer von SAP stützt. Ein Unternehmen, das in den letzten Jahren nicht gerade durch seine Expertise im Bereich Freie Software auf sich aufmerksam gemacht hat. Daher wundert es mich nicht, dass ausgehend von grundsätzlich richtigen Feststellungen übereilt falsche Schlussfolgerungen gezogen werden.

Lassen Sie mich das an einem Beispiel veranschaulichen. Die Aussage, dass die Entwicklung durch Freie Software schneller und günstiger wird, ist sicher richtig. Aus wirtschaftlicher Sicht ist das einer der großen Vorteile von Freier Software. Softwareunternehmen können auf Bestehendem aufbauen. Dadurch muss nicht bei jeder Entwicklung das berühmte Rad neu erfunden werden, stattdessen kann man sich direkt auf das eigentlich Neue und Innovative konzentrieren. Unter anderem verhindert man damit, dass ähnliche Fehler wiederholt gemacht werden, stattdessen baut man auf bereits etablierte, gut getestet Bausteine auf und reduziert hierdurch sogar die Fehleranfälligkeit. Der ganz banale Schluss, dass schnellere Entwicklung zu mehr Software führt und mehr Software auch zu mehr Fehlern in Software, ist nicht überraschend. Genauso wenig sollte es aber überraschen, dass dies für jede Software gilt. Ganz unabhängig von der Lizenz. Trotzdem will am Ende wohl niemand auf die Steigerung der Produktivität durch bessere Werkzeuge, Lizenz- und Entwicklungsmodelle in der Softwareentwicklung verzichten.

Die Aussage, dass bei Freier Software niemand verantwortlich ist, Fehler zu finden und zu beheben, möchte ich ebenfalls nicht unwidersprochen stehen lassen. Eigentlich ist es hier nicht anders als bei proprietärer (unfreier) Software.

Verantwortlich ist zum einem natürlich der Entwickler. Hinter der Entwicklung von Freier Software stehen heute in den meisten Fällen Unternehmen. Hierfür muss man sich nur die Liste der Linux-Kernel Entwickler und deren Firmenzugehörigkeit einmal anschauen. Zum anderen sind Unternehmen in der Verantwortung, die Freie Software vertreiben. Hierzu gehören zum Beispiel RedHat, Canonical oder SuSE, um nur ein paar zu nennen. Nicht zuletzt ist aber auch derjenige, der die Software einsetzt, in der Verantwortung, die Qualität und Sicherheit der eingesetzten Komponenten zu überprüfen. Unter den Unternehmen, welche Freie Software einsetzen, findet man Namen wie Amazon, Facebook und Google. Diese Firmen haben große Abteilungen, welche sich ausschließlich mit der Sicherheit der eingesetzten Software beschäftigen. Dank Freier Software kommt deren Arbeit auch kleinen Unternehmen wieder zugute, welche sich keine eigene Sicherheitsabteilung leisten können. Gerade für Unternehmen, die sich keine eigene Sicherheitsabteilung leisten können, gilt: Ohne die Vereinbarung von Service Level Agreements mit einem entsprechenden Anbieter kann man letztlich die Verantwortung nicht auf andere abwälzen. Solche Vereinbarungen sind beim Einsatz von proprietärer Software von Drittanbietern selbstverständlich. Ist man nicht bereit, die Verantwortung selber zu tragen, dann sollte man an dem Punkt auch nicht beim Einsatz von Freier Software sparen.

Eine lückenlose Überprüfung von einzelnen Komponenten, welche nicht selber entwickelt wurden, stellt heute die größte Herausforderung dar, egal ob ein Unternehmen auf Freie-Software-Komponenten aufbaut oder proprietäre Komponenten von Drittanbietern einkauft. Freie Software hat an dieser Stelle vor allem zwei Vorteile. Dadurch, dass man nicht der einzige ist, der diese Software einsetzt, erhöht sich die Wahrscheinlichkeit, dass möglichst zeitnah Fehler auch wirklich entdeckt werden. Ein weiterer wichtiger Vorteil ist, dass man bei Freier Software oft sehr viel besser nachvollziehen kann, wer welchen Programmcode eingebracht hat. Gerade moderne Entwicklerplattformen wie zum Beispiel GitHub machen dies sehr einfach. Eine Transparenz, wie man sie bei proprietärer Software meist vergeblich sucht.

Auch zeigt Freie Software seine Stärke gerade, nachdem eine Sicherheitslücke – wie aktuell DROWN – entdeckt wurde. Eine solche Entdeckung gerät bei Freier Software meist sehr schnell an die Öffentlichkeit, während Sicherheitslücken bei proprietärer Software oft eher verheimlicht werden, um dem Unternehmen nicht zu schaden. Die Art, wie es bei Freier Software gehandhabt wird, hat zwei positive Effekte. Zum einen bietet es Kriminellen weniger Spielraum, die Sicherheitslücke auf dem Schwarzmarkt zu vermarkten und auszunutzen. Zum anderen können verschiedene Parteien unabhängig den Fehler beheben und entsprechende Sicherheitsvorkehrungen treffen, während man bei proprietärer Software nur warten kann, bis der Hersteller den Fehler behebt und ein Update ausliefert.

Dass dieses System gut funktioniert, haben wir bei Heartbleed gesehen. Diese Sicherheitslücke wurde unter anderem von Google, welches selbst viel Freie Software einsetzt, entdeckt und behoben, und dann umgehend der Öffentlichkeit zugänglich gemacht. Heartbleed hat auch zur Gründung der „Core Infrastructure Initiative“ geführt, welche sehr viel Geld in Projekte investiert, die die Sicherheit von Freier Software erhöhen.

Abschließend lässt sich festhalten, dass Freie Software zwar nicht zwingend sicherer ist als proprietäre Software. Die Freiheit der Software – also die Möglichkeit diese für jeden Zweck zu verwenden, zu untersuchen, weiterzugeben und abzuändern – stellt aber eine notwendige Bedingung für Sicherheit dar. Man kann sich das wie bei einem Türschloss vorstellen. Jeder weiß wie ein solches Schloss aufgebaut ist. Viele unabhängige Experten konnten über viele Jahre das Konzept untersuchen und verbessern. Nur so war es möglich, sichere Schlösser zu entwickeln. Durch Geheimhaltung wurde noch nie langfristig und nachhaltig Sicherheit erzielt.