Projekt EU-Fossa: Sicherheits-Audit für Open Source

Das Projekt EU-Fossa überprüft die Sicherheit freier Software, die von der EU-Kommission und dem Europaparlament eingesetzt wird. In den kommenden Wochen werden Apache HTTP Server und der Passwortmanager KeePass einem Sicherheits-Audit unterzogen. Die beiden Open-Source-Lösungen wurden durch eine öffentliche Umfrage ausgewählt.

Zur Wahl standen außerdem OpenSSL, Linux, Firefox, VLC Media Player, MySQL und Drupal. Zwischen dem 17. Juni und dem 8. Juli gingen 3282 Antworten ein, die mit großem Abstand für KeePass (23,1 Prozent) und Apache HTTP Server (18,7 Prozent) sprachen. Bei der detaillierten Umfrage ging es insbesondere darum, wie häufig die Software innerhalb und außerhalb der EU-Institutionen genutzt wird – und wie kritisch sie für die Institutionen und ihre Nutzer ist.

EU-Fossa (EU-Free and Open Source Software Auditing) wurde im Januar 2015 gestartet. Initiatoren des Projekts sind die deutsche Piratenpolitikerin Julia Reda und der schwedische Grünen-Politiker Max Andersson, beide Abgeordnete des Europäischen Parlaments. Das erklärte Ziel des Projekts ist es, die Sicherheit freier Software zu verbessern und zu zeigen, dass Sicherheit und Freiheit keine Gegensätze sind.

„Meiner Meinung nach sollte die Regierung stark zur Nutzung und Unterstützung von Open-Source-Software neigen“, argumentierte Reda in einem Blogeintrag. „Ihr Staat solle keinen Code einsetzen, der Geheimdiensten zugänglicher ist als Ihnen. Jede Software, für die eine Regierung bezahlt, solle Open Source sein: Durch ihre Handlungen sollte die Regierung das Gemeinwohl bereichern und nicht ein bestimmtes Unternehmen.“

An der Auditierung über die nächsten Wochen hinweg werden sich die IT-Abteilungen des Europaparlaments sowie der Europäischen Kommission beteiligen. Zusätzlich ist in das Projekt aber auch die Madrider Beratungsfirma Everis einbezogen, an deren Teilnahme sich inzwischen Kritik aus der Open-Source-Community entzündet. „Sie hatten kein gutes Wissen über freie Software, als sie begannen“, moniert etwa Matthias Kirschner, Präsident der Free Software Foundation Europe (FSFE). „Und obwohl wir sie mit vielen Informationen versorgt haben, hat sich daran nichts geändert, wie aus den Ergebnissen zu ersehen. Es gab wenig Kommunikation über das Projekt bis zur kürzlichen Veröffentlichung von über 550 Seiten und einer Umfrage zu den Programmen, die auditiert werden sollen.“

Kirschner hätte sich vielmehr von Anfang an die frühzeitige Veröffentlichung von Ideen, Kriterien und Ergebnissen gewünscht, um das Feedback anderer zu ermöglichen. Die Veröffentlichung von 550 Seiten nach fast einem Jahr Stillschweigen habe die wirklichen Experten daran gehindert, frühzeitig auf Missverständnisse und systematische Fehler einzugehen, die schon zu Beginn des Projekts entstanden. „Ich bin besorgt, sollte das Projekt wie bisher weiterlaufen, dass die europäischen Institutionen einen großen Teil des Budgets von 1 Million Euro ohne positive Auswirkung auf die Sicherheit von freier Software ausgeben werden“, warnt der FSFE-Chef.