Sicherheitslücken sind ein grundsätzliches Problem
Peter Ganten ist Gründer und Geschäftsführer der Bremer Univention GmbH sowie Vorstandsvorsitzender der Open Source Business Alliance (OSB Alliance). Als Autor eines Handbuches zu Debian GNU/Linux sieht bei Open-Source-Lösungen wie OpenSSL vor allem die Betreiber der Software in der Pflicht. „Denn schließlich ist es vor allem die Aufgabe der Unternehmen, die entsprechende Programme in den Verkehr bringen, für ihre Sicherheit zu sorgen.“
MittelstandsWiki: Das Argument der Open-Source-Community ist doch das Mehraugenprinzip. Trotzdem wies OpenSSL in der Programmerweiterung Heartbeat eine gefährliche Sicherheitslücke in der verschlüsselten Verbindung zwischen Nutzer und Server auf: den sogenannten Heartbleed-Bug. Wieso wurde das übersehen?
Peter Ganten: Man darf die Komplexität des OpenSSL-Codes nicht unterschätzen. Software wird von Menschen gemacht. Ab einer bestimmten Größe kann man Fehler nicht ausschließen, unabhängig davon, ob es sich nun um offene oder um proprietäre Software handelt. Heartbleed wurde auch nicht entdeckt, weil böse Angreifer nach einer Sicherheitslücke gesucht haben, sondern durch Zufall. Die Firmen Google und Codenomicon hatten rein zufällig und unabhängig voneinander den Bug bemerkt, weil sich der Code irgendwie seltsam verhalten hatte.
MittelstandsWiki: Die Lücke hätte aber auch von Cyberkriminellen zufällig entdeckt werden können. Ist proprietäre Software mit ihrem verschlossenen Quellcode nicht doch sicherer?
Peter Ganten: Software wird von Menschen gemacht. Das heißt, dass sie immer fehlerbehaftet sein kann. Auch bei proprietären Anbietern gibt es immer wieder dramatische Sicherheitslücken, die trotz eines geschlossenen Quellcodes von Cyberkriminellen hätten missbraucht werden können. Ich erinnere nur an die Sicherheitslücke bei einigen Fritzbox-Routern, die es Hackern ermöglicht hätte, remote auf den Router zuzugreifen. Sicherheitslücken sind ein grundsätzliches Problem von Software. Unabhängig von der Lizenzierung.
MittelstandsWiki: Aber proprietäre Unternehmen haben mehr Geld, um für Sicherheit zu sorgen. Steve Marquess von der OpenSSL Software Foundation (OSF) hat in seinem Blog kritisiert, dass die Stiftung chronisch unterfinanziert sei. Da können Sicherheitslücken doch nicht ausbleiben.
Peter Ganten: Es gibt viele unterschiedliche und erfolgreiche Modelle zur Finanzierung der Entwicklung von Open-Source-Software. Eines der erfolgreichsten besteht darin, dass Unternehmen, die mit dem entsprechenden Code arbeiten, direkt Mitarbeiter zu seiner Weiterentwicklung finanzieren und abstellen. Denn schließlich ist es vor allem die Aufgabe der Unternehmen, die entsprechende Programme in den Verkehr bringen, für ihre Sicherheit zu sorgen. Auch im Fall von OpenSSL haben eben solche Firmen den Fehler ja schließlich auch bemerkt.
Die Größe und die finanzielle Ausstattung von Stiftungen wie der OpenSSL Software Foundation sind deswegen nur von untergeordneter Bedeutung. Es gibt Open-Source-Projekte, die von einer Universität getragen werden. Da können wir nicht verlangen, dass sie top finanziert sind. Das würde jede Innovation im Keim ersticken. Ich vermute, dass Herr Marquess die Situation nutzen wollte, um Gelder für seinen Verband zu sammeln.
MittelstandsWiki: Gibt es etwas, das wir aus Heartbleed lernen können?
Peter Ganten: Man kann Teilen der IT-Industrie, aber auch vielen Nutzern den Vorwurf machen, dass sie das Thema Sicherheit nicht ernst genug nehmen. Solange alles gut geht, verspüren nur wenige die Notwendigkeit, es besser zu machen. Ich hoffe, dass durch Heartbleed und den NSA-Skandal langsam ein anderes Bewusstsein entsteht und dass die Anbieter stärker in die Verantwortung genommen werden.
Das Interview führte Sabine Philipp.