Bisher hatte gerade Open-Source-Software den Ruf, besonders sicher zu sein; die offene Entwicklung ermöglicht eine umfangreiche Prüfung nach dem Mehraugenprinzip. Seit aber bekannt ist, dass das Verschlüsselungsprotokoll OpenSSL ein gefährliches Einfallstor gelassen hat, soll das nicht mehr gelten. Heartbleed heißt Supergau. Doch die Schwere des Fehlers beweist nichts gegen die Wahl der Software.
Über einen Zeitraum von fast zwei Jahren war es möglich, verschlüsselte sensible Daten von vielen Internet-Servern und Diensten zu stehlen. Laut heise.de waren zum Zeitpunkt des Bekanntwerdens des schwerwiegenden Programmierfehlers in der weitverbreiteten Verschlüsselungsbibliothek OpenSSL immerhin 628 der meistbesuchten Websites betroffen. Darunter sind so prominente Namen wie Adobe, AfterBuy, BitTorrent, Flickr, HypoVereinsbank, Kaspersky, Sparkasse.at, Yahoo oder VeriSign. Die meisten Anbieter haben mittlerweile reagiert und das fehlerbereinigte Update der OpenSSL-Bibliothek eingespielt.
Den Fehler tauften seine Entdecker „Heartbleed Bug“, nach der „Heartbeat“ genannten Funktion der OpenSSL-Verschlüsselungsbibliothek. Über diesen Heartbeat werden bei der Kommunikation Statusinformationen zwischen Server und Client ausgetauscht. Durch eine fehlerhafte Routine bzw. einen vergessenen Check innerhalb dieser Kommunikation lassen sich bei einem entsprechenden Angriff auf das System Teile des Speichers auslesen und dabei eigentlich verschlüsselte Daten im Klartext abgreifen. Diverse Tests haben gezeigt, dass es auf diese Weise möglich ist, z.B. geheime Schlüssel eines Serverzertifikats, User-Namen und Passwörter zu stehlen. Besonders heikel ist: Der Angreifer hinterlässt keinerlei Spuren auf dem Server. Es ist im Nachhinein nicht mehr nachvollziehbar, ob das System einem Angriff ausgesetzt war und Daten gestohlen wurden.
Nicht wenige Stimmen wurden daraufhin laut und kritisierten generell den Einsatz von Open-Source-Lösungen für sicherheitsrelevante Funktionen und forderten den Verzicht auf quelloffene Software. Damit macht man es sich aber wohl zu einfach, wie Fachleute konstatieren, die sich über Jahre hinweg intensiv mit dem Thema Open Source befassen. So hält die Open Source Business Foundation dagegen:
„Auch wenn es auf den ersten Blick anders aussieht – Heartbleed ist ein gutes Beispiel dafür, dass Open Source im direkten Vergleich aufgrund des OSS-Entwicklungsmodells potenziell sicherer und vertrauenswürdiger sein kann. Hätte es sich hier um eine Closed-Source-Implementierung gehandelt, dann würde die Öffentlichkeit vielleicht niemals davon erfahren. So hat es zwar ebenfalls zwei Jahre gedauert, aber besser zu spät als nie.
Als Lehre daraus können wir alle mitnehmen, dass es besonders bei sicherheitskritischen Anwendungen ganz wesentlich ist, auf eine hohe Qualitätssicherung zu achten, z.B. über automatisierte Tests, durch besonders kritische Überprüfung beim Übernehmen von neuem Code sowie durch regelmäßige Security Audits. Hier sind wir letztlich alle gefordert – die Unternehmen, die Open Source einsetzen oder entwickeln, die Anwender, die Open Source nutzen, und die Programmierer, die an diesen kritischen Bereichen arbeiten.“
Das sehen wir vom MittelstandsWiki ähnlich. Auch wir kämen nicht auf die Idee, Open Source wegen eines Fehlers, auch wenn es zugegebenermaßen ein äußerst kritischer ist, den Rücken zu kehren. Wir setzen schließlich mit MediaWiki und WordPress äußerst prominent auf Open-Source-Lösungen. Insgesamt ist es erfreulich, wie schnell auf den Fehler aufmerksam gemacht und wie zügig er behoben wurde. Daran sollte sich so manches kommerzielle Software-Unternehmen ein Beispiel nehmen. (OSBF/heise.de/red)