Wie sicher ist Open Source?

Open-Source-Programme gelten vielen Nutzern als besonders sicher, da der Quellcode dieser Software frei zugänglich ist. So kann jeder Interessierte und in der jeweiligen Programmiersprache Bewanderte, den Code herunterladen und Zeile für Zeile mit eigenen Augen überprüfen. Darum werden auch gerade für sicherheitsrelevante Anwendungen solche Open-Source-Programme empfohlen, etwa die Verschlüsselungs-Software Truecrypt oder der Passwort-Manager Keepass . Die Linux-Software Open-SSL kommt auf mindestens einer halbem Million Internet-Servern zum Einsatz und verschlüsselt die Verbindung von einer Website des Servers hin zum Internet-Browser eines Surfers, erkennbar an dem „https“ vor der Webadresse. Diese SSL-Verschlüsselung wird von Online-Shops eben so genutzt wie von sozialen Netzwerken und von Mailprovidern.

Sicherheitslücke in Open-SSL

Anfang April dieses Jahres wurde dann der Heartbleed getaufte Bug in Open-SSL entdeckt. Diese Sicherheitslücke bestand seit rund zwei Jahren, betraf extrem viele Systemen und war derart gewaltig, dass jede namhafte Website innerhalb kurzer Zeit den Fehler ausbügelte. Die Folgen für Sie als Anwender: Sie sollten dringend Ihre Passwörter für betroffene Web-Dienste ändern. Welche das unter anderem sind, verrät diese Seite .

Ist Open Source sicher?

Der Fehler in Open-SSL hat eine alte Frage wieder auf die Tagesordnung gerufen: Ist Open Source sicher? Denn nur weil es möglich ist, dass sich Interessierte den Quellcode ansehen, ist es noch lange nicht gewährleistet, dass das auch irgendjemand tut. Schließlich ist die Analyse von viele Tausend Zeilen Code nicht gerade ein großes Vergnügen. Im Gegenteil: Die Analyse auf Schwachstellen erfordert fortgeschrittene Programmierkenntnisse, Talent in der Fehlersuche und viel Zeit. Freiwillige tun das offensichtlich nicht oder nicht oft genug. Bei sicherheitsrelevanten Programmen wie Open-SSL oder Truecrypt kommen zur reinen Fehlersuche im Code noch die Suche nach Hintertüren, die dort platziert wurden. Zwar wird jede Änderung des Open-Source-Codes dokumentiert und von dem Projektverantwortlichen abgesegnet, aber eine raffinierte Hintertür ist unter Umständen nicht also solche erkennbar. Ein Beispiel dafür ist etwa der Zufallsgenerator Dual EC DRBG, den die NSA in einenVerschlüsselungsstandard eingeschleust haben soll .

Anlässlich der Schwachstelle in Open-SSL hat unter anderem der Chef von Steganos, Gabriel Yoran, eine öffentliche Quelltextlesung des Open-SSL-Bugs veranstaltet. Eine Erkenntnis daraus: Die Programmierer des Codes sitzen gleichzeitig in dem Aufsichtsgremium, dass die Standards für das Programm vorgibt. Sie kontrollieren sich also – zumindest teilseise – selber.

Das sehr empfehlenswerte Youtube-Video zum Nachsehen gibt es hier:

Was sollte sich ändern?

Wenn die Prüfung von sicherheitsrelevanten Open-Source-Code offensichtlich nicht ausreichend stattfindet, sollte sich etwas ändern. Das dachten sich auch einige Verschlüsselungsexperten und sammelten im Herbst 2013 per Crowdfunding Geld, um die Software Truecrypt in einem Audit-Verfahren prüfen zu lassen. Die gute Nachricht: Nach der ersten Prüfrunde sieht alles in Ordnung aus.

Es stellt sich nun allerdings die grundsätzliche Frage: Wer sollte eigentlich Open-Source-Code in einem unabhängigen Verfahren prüfen. Natürlich gibt es kommerzielle Unternehmen, die Code gegen hohe fünfstellige Beträge prüfen und zertifizieren. Doch wenn Sie diesen Unternehmen vertrauen, dann vertrauen Sie auf das gleiche Prinzip, das auch jedem Closed-Source-Programm zugrunde liegt: Die kommerzielle Firma wird korrekt und in meinem Sinne arbeiten, weil sie nur dann legal und auf Dauer bestehen kann. So gesehen könnten Sie aber auch gleich die Software von kommerziellen Firmen nutzen.

Außerdem: Von wem soll eigentlich auf Dauer das Geld für die Prüfung kommen und welchen Einfluss werden die Geldgeber dann auf die Software haben. Das ist ein ganz aktuelles Thema, denn nach dem SSL-Bug hat die Linux Foundation um Geld zur Prüfungen von Code gebeten – und erhalten: Mehrer Millionen Dollar wollen Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, Vmware und andere für diese Zwecke spenden . Quelloffen wird die Software deswegen natürlich bleiben, aber sie damit auch unabhängig bleiben.

Denkbar wäre auch eine staatliches Institut, das Open-Source-Code prüft. Doch nach den Enthüllungen durch Edward Snowden dürfte das Vertrauen in staatliche Institute gering sein. Die Frage nach der Sicherheit von Open-Source-Software ist damit heute unbeantwortet. Was natürlich nicht heißt, dass deshalb Closed Source automatisch als sicherer einzustufen sei.

Umfrage: Uns interessiert Ihre Meinung. Wenn Sie die Wahl haben zwischen Open-Source- und Closed-Source-Software. Welche würden Sie eher als sicherer einstufen als die andere: