Open-Source-Software Die Community sorgt für Sicherheit

Autor Julia Mutzbauer

Open-Source-Anwendungen werden immer beliebter. Trotzdem halten sich einige Bedenken hinsichtlich der Sicherheit. Der Software-Entwickler Virtual Network Consult (VNC) versucht jetzt, diese Befürchtungen zu entkräften.

Firmen zum Thema

Andrea Wörrlein, Geschäftsführerin von VNC : „Der entscheidende Vorteil von Open Source in Sicherheitsfragen ist die Transparenz: Nutzer müssen nicht auf die Zusicherungen eines Herstellers vertrauen, dass eine Software bestimmte Sicherheits- und Datenschutzanforderungen erfüllt“
Andrea Wörrlein, Geschäftsführerin von VNC : „Der entscheidende Vorteil von Open Source in Sicherheitsfragen ist die Transparenz: Nutzer müssen nicht auf die Zusicherungen eines Herstellers vertrauen, dass eine Software bestimmte Sicherheits- und Datenschutzanforderungen erfüllt“
(© duncanandison – stock.adobe.com)

Selbst ein großer Software-Konzern wie Microsoft, dessen ehemaliger Chef Steve Ballmer das Linux-Betriebssystem einst mit einem „Krebsgeschwür“ verglich, arbeitet mittlerweile in vielen Open-Source-Projekten mit und nutzt quelloffene Software-Komponenten in seinen Anwendungen und Services. Dennoch halten sich nach Angaben der Open-Source-Entwickler von VNC „einige hartnäckige Vorurteile über die vermeintliche Unsicherheit quelloffener Lösungen“. Dabei sei Open Source sehr sicher, und viele Unternehmen entschieden sich gerade wegen der hohen Sicherheit dafür, argumentieren die Open-Source-Befürworter, listen aus ihrer Perspektive fünf Vorurteile auf und erklären nachfolgend, warum sie diese für unbegründet halten:

  • Schwachstellen sind für jeden einsehbar: Das ist richtig – und bei genauer Betrachtung ein dickes Sicherheitsplus. Nicht nur Cyberkriminelle können den frei verfügbaren Code nach Angriffspunkten durchforsten, sondern alle interessierten Entwickler und Unternehmen. Im Endeffekt wachen dadurch viel mehr Augen über die Qualität des Codes als bei Closed Source, sodass mögliche Schwachstellen schnell entdeckt werden. Zudem geht die Community transparent mit allen Sicherheitslecks um, während bei proprietären Anwendungen oft nicht bekannt ist, welche Lücken in ihnen schlummern.
  • Niemand prüft den gesamten Code: Falsch. Unternehmen und Behörden mit hohen Sicherheitsanforderungen führen gezielt Audits durch oder ziehen Spezialisten hinzu, die den Code in umfangreichen Prüfprozessen auf Bugs und Schwachstellen abklopfen. Bei proprietären Anwendungen ist so etwas meist nicht möglich, und wenn, dann in der Regel nur unter Auflagen und mit erheblichen Einschränkungen. Viele Unternehmen, die die Weiterentwicklung der Anwendungen entscheidend vorantreiben, beauftragen regelmäßig unabhängige Prüfer, die den Code auf Herz und Nieren untersuchen. Die Offenheit ist nicht nur Fassade – sie wird tatsächlich und intensiv genutzt.
  • Jeder kann Fehler und Hintertüren einbauen: Theoretisch ist das möglich, aber Open-Source-Projekte haben einen sehr kontrollierten Entwicklungsprozess. Alle Änderungen am Code werden dokumentiert und von der Community penibel geprüft und getestet, sodass problematische Programmzeilen identifiziert und aussortiert werden können. Nur Änderungen und Neuerungen, die diese Code Review erfolgreich durchlaufen haben, finden ihren Weg in stabile Programmversionen. Dieses Vorgehen minimiert nicht nur das Risiko von Sicherheitslücken, sondern auch von Stabilitäts- und Kompatibilitätsproblemen. Bei Closed Source ist die Gefahr von Sicherheits- und Datenschutzverletzungen ungleich größer, weil niemand den Code kontrollieren kann. Das zeigen auch die immer wieder auftauchenden Spekulationen um mögliche Hintertüren in nicht offenen Firmwares und Betriebssystemen.
  • Niemand kümmert sich um Bugs und Lecks: Open-Source-Projekte sind keine Ansammlung von Hobby-Entwicklern, die unorganisiert zusammenarbeiten. Hinter vielen quelloffenen Anwendungen steht eine große Community engagierter Entwickler und Unternehmen, in der es feste Abläufe und Roadmaps gibt. Die Ressourcen sind oft umfangreicher als bei Anbietern proprietärer Software, sodass Bugs und Fehler häufig viel schneller behoben sind. Zudem pflegt die Community ihre Anwendungen meist deutlich länger: Selbst alte Programmversionen werden noch mehrere Jahre mit Sicherheitsupdates und anderen Verbesserungen versorgt.
  • Es gibt keinen professionellen Support: Manche Unternehmen treibt die Sorge um, sie würden für Open-Source-Software keinen professionellen Support erhalten. Allerdings bieten die Firmen, die sich in der Open-Source-Entwicklung engagieren, in der Regel eine höchst professionelle Unterstützung an – das ist ein wichtiger Teil ihres Geschäftsmodells. Zahlreiche Dienstleister haben sich sogar auf den Support von quelloffenen Anwendungen spezialisiert. Sie helfen Unternehmen bei der sicheren Einrichtung und dem sicheren Betrieb der Software, kümmern sich um Probleme und nehmen bei Bedarf individuelle Anpassungen vor, die bei proprietären Programmen meist nicht möglich sind.

Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug sieht in der Transparenz einen entscheidenden Vorteil von Open Source: „Nutzer müssen nicht auf die Zusicherungen eines Herstellers vertrauen, dass eine Software bestimmte Sicherheits- und Datenschutzanforderungen erfüllt. Sie können auf die wachen Blicke einer großen Community zählen und jederzeit selbst Prüfungen vornehmen.“ Das bedeute nicht, dass Open Source automatisch sicher sei, doch eine engagierte Community und ein kontrollierter Entwicklungsprozess würden für zuverlässige, sichere und vertrauenswürdige Software sorgen.

(ID:47119529)