Das Argument der Open-Source-Bewegung ist, ihr Ansatz sei besser, da „mehr Augen einen Blick darauf haben und Fehler deshalb schneller gefunden werden“. Die Verfechter proprietärer Software führen zwei Gegenargumente ins Feld: Das erste lautet, dass auch eine Menge übelwollender Augen einen Blick auf Open-Source-Code werfen können, was ihrer Meinung nach vor allem möglichen Angreifern Vorteile bringt. Der zweite Punkt ist, dass die Augen von einigen wenigen Experten mehr sehen als die von vielen Laien. Ein einzelnes Unternehmen, das für die Software verantwortlich ist, gibt einen besserer Wächter ab als die vielen Mitglieder der Open-Source-Gemeinde.
Es ist sicherlich ein Funken Wahrheit in der Feststellung, allein die Tatsache, dass man Programmierern Zugang zu einem Stück Software gewährt, garantiere noch nicht, dass sie dieses auch sorgfältig unter die Lupe nehmen. Es gibt jedoch eine Gruppe von Programmierern, von denen man annehmen darf, dass sie sich sehr engagieren werden: diejenigen, welche die Software selber benutzen oder für eine Firma arbeiten, die von der Software abhängig ist.
Falls für jemanden das Recht oder die Notwendigkeit besteht, den Code genau zu studieren, um sich von seiner korrekten Funktion zu überzeugen, dann sind das die Anwender. In der Tat gehört die genaue Prüfung der Sicherheit aller Programme, auf die sich ein Unternehmen verlässt, selbstverständlich zu den Aufgaben der für die IT-Sicherheit zuständigen Abteilung eines Unternehmens.
Und außerdem: Nur weil ein Programm Open-Source-Software ist, heißt das noch lange nicht, dass niemand dafür verantwortlich ist. Die Automobil-Industrie liefert dafür ein gutes Beispiel: Als Autos noch keine Software enthielten, waren sie eine „Open-Source“-Technologie. Es gab Handbücher und Ersatzteillisten sowie alle möglichen Produkte von Drittanbietern, sei es zu Reparaturzwecken oder um das eigene Auto den individuellen Wünschen anzupassen. Ein Klasse von professionellen Mechanikern war bestens mit der Funktion von Autos vertraut und erfüllte damit eine ähnliche Funktion wie die der Auditoren von Software-Programmen. Betrachten Sie es einmal von dieser Seite: Ein Mechaniker, der Ihre Bremsen überprüft, stellt das korrekte Funktionieren eines Systems sicher, das entscheidend für Ihre Sicherheit ist.
Aber das heißt natürlich nicht, dass es keine Gruppe gibt, die für das Auto verantwortlich wäre. Auf einer anderen Ebene als der Mechaniker verfolgt der Hersteller die Reparaturstatistik jedes Modells und gibt dann entsprechende Reparaturanleitungen heraus oder ruft gelegentlich auch ein Modell zurück, wenn ein schwer wiegender Fehler entdeckt wurde.
Was das Argument betrifft, Open-Source sei für Hacker nützlicher als für Anwender, so widerspricht es einem der wichtigsten Sicherheitsprinzipien: Ein Geheimnis, das nicht leicht geändert werden kann, sollte als Sicherheitslücke betrachtet werden.
Wenn Ihre Sicherheit von einem Geheimnis abhängt, was machen Sie dann, wenn dieses Geheimnis enthüllt wird? Wenn es einfach zu ändern ist wie etwa ein kryptografischer Schlüssel, werden sie es ändern. Wenn es nur schwer zu ändern ist wie beispielsweise ein ganzes Kryptografie-System oder ein Betriebssystem, sitzen Sie in der Klemme. Sie werden so lange angreifbar sein, bis sie Zeit und Geld in den Entwurf eines neuen Systems investiert haben.
Das heißt nicht, dass es bei der Sicherheit gar keine Geheimnisse geben darf. Es bedeutet nur, dass sie niemals wünschenswert sind. In der Kryptografie ist dies bereits seit langem Allgemeinwissen. Dort wurde das Offenheitsprinzip schon in den 1870er Jahren formuliert (auch wenn es über ein Jahrhundert dauerte, bis es Früchte trug). Auf der anderen Seite wurde die Schwäche von Geheimhaltung als Sicherheitsmaßnahme im Zweiten Weltkrieg schmerzlich deutlich, wo die Gegner höchst erfolgreich dabei waren, das Wissen über ihre Verschlüsselungssysteme vor der Öffentlichkeit zu verbergen, aber weit weniger erfolgreich dabei, es vor dem Feind verborgen zu halten.
Heutzutage liegen die Dinge völlig anders, zumindest in der Wirtschaft. Alle gängigen Verschlüsselungssysteme im Internet sind öffentlich. Die USA übernahmen kürzlich ein neues, sehr offenes System als nationalen Standard, und es dürfte nicht lange dauern, bis dieser Advanced Encryption Standard – auf Basis international anerkannter Algorithmen – für den Schutz auch sensibelster Daten verwendet wird.
Es ist einfach unrealistisch, sich auf Geheimhaltung bei der Sicherheit von Computersystemen zu verlassen. Wahrscheinlich wird man die exakten Funktionsprinzipen eines Programms vor einer breiten Öffentlichkeit geheim halten können, aber wird man verhindern können, dass der Code per Reverse-Engineering von ernsthaften Gegnern geknackt wird? Wahrscheinlich nicht.
Das Geheimnis für starke Sicherheit: Verlassen Sie sich weniger auf Geheimnisse!
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…