Das Open-Source-Konzept steht für Sicherheit

Quelloffene Anwendungen verbreiten sich vielerorts. Lange hielten sich Vorurteile über die vermeintliche Unsicherheit dieser Lösungen. Der Open-Source-Spezialist VNC prüft diese Vorwürfe in der Praxis.

Erfolgsgeschichte: Open Source kommt in unzähligen Unternehmen zum Einsatz. Selbst ein großer Software-Konzern wie Microsoft, dessen ehemaliger Chef Steve Ballmer das Linux-Betriebssystem einst mit einem „Krebsgeschwür“ verglich, arbeitet mittlerweile in vielen Open-Source-Projekten mit und nutzt quelloffene Software-Komponenten in seinen Anwendungen und Services. Trotzdem halten sich einige Bedenken hinsichtlich der Sicherheit von Open Source beharrlich. Sei es, weil die Zweifler nur unzureichend mit den Entwicklungsprozessen in der Community vertraut sind oder weil Protagonisten, die ihr Geld vornehmlich mit proprietärer Software verdienen, längst überholte Ressentiments pflegen.

Dabei ist Open Source sehr sicher und viele Unternehmen entscheiden sich gerade wegen der hohen Sicherheit dafür. VNC listet die am häufigsten anzutreffenden Vorurteile auf und erklärt, warum sie unbegründet sind:

  1. Schwachstellen sind für jeden einsehbar
    Das ist richtig – und bei genauer Betrachtung ein dickes Sicherheitsplus. Nicht nur Cyberkriminelle können den frei verfügbaren Code nach Angriffspunkten durchforsten, sondern alle interessierten Entwickler und Unternehmen. Im Endeffekt wachen dadurch viel mehr Augen über die Qualität des Codes als bei Closed Source, sodass mögliche Schwachstellen schnell entdeckt werden. Zudem geht die Community transparent mit allen Sicherheitslecks um, während bei proprietären Anwendungen oft nicht bekannt ist, welche Lücken in ihnen schlummern. 
  1. Niemand prüft den gesamten Code
    Diese Behauptung ist falsch. Unternehmen und Behörden mit hohen Sicherheitsanforderungen führen gezielt Audits durch oder ziehen Spezialisten hinzu, die den Code in umfangreichen Prüfprozessen auf Bugs und Schwachstellen abklopfen. Bei proprietären Anwendungen ist so etwas meist nicht möglich, und wenn, dann in der Regel nur unter Auflagen und mit erheblichen Einschränkungen. Viele Unternehmen, die die Weiterentwicklung der Anwendungen entscheidend vorantreiben, beauftragen regelmäßig unabhängige Prüfer, die den Code auf Herz und Nieren untersuchen. Bei Open Source ist die Offenheit nicht nur Fassade – sie wird tatsächlich und intensiv genutzt.
  1. Jeder kann Fehler und Hintertüren einbauen
    Theoretisch ist das möglich. Allerdings haben Open-Source-Projekte einen sehr kontrollierten Entwicklungsprozess. Sämtliche Änderungen am Code werden dokumentiert und von der Community penibel geprüft und getestet. So werden problematische Programmzeilen identifiziert und aussortiert. Nur Änderungen und Neuerungen, die diese Code Review erfolgreich durchlaufen haben, finden ihren Weg in stabile Programmversionen. Dieses Vorgehen minimiert nicht nur das Risiko von Sicherheitslücken, sondern auch von Stabilitäts- und Kompatibilitätsproblemen. Bei Closed Source ist die Gefahr von Sicherheits- und Datenschutzverletzungen ungleich größer, weil niemand den Code kontrollieren kann. Das zeigen auch die immer wieder auftauchenden Spekulationen um mögliche Hintertüren in nicht offenen Firmwares und Betriebssystemen.
  1. Niemand kümmert sich um Bugs und Lecks
    Open-Source-Projekte sind keine Ansammlung von Hobby-Entwicklern, die unorganisiert zusammenarbeiten. Hinter vielen quelloffenen Anwendungen steht eine große Community engagierter Entwickler und Unternehmen, in der es feste Abläufe und Roadmaps gibt. Die Ressourcen sind oft umfangreicher als bei Anbietern proprietärer Software, sodass Bugs und Fehler oft schneller behoben sind. Zudem pflegt die Community ihre Anwendungen meist deutlich länger: Selbst alte Programmversionen werden noch mehrere Jahre mit Sicherheitsupdates und anderen Verbesserungen versorgt.
  1. Es gibt keinen professionellen Support
    Manche Unternehmen treibt die Sorge um, sie würden für Open-Source-Software keinen professionellen Support erhalten. Das stimmt so nicht. Viele Unternehmen, die sich in der Open-Source-Entwicklung engagieren, bieten eine professionelle Unterstützung an. Das ist ein wichtiger Teil ihres Geschäftsmodells. Zahlreiche Dienstleister haben sich sogar auf den Support von quelloffenen Anwendungen spezialisiert. Sie helfen Unternehmen bei der sicheren Einrichtung und dem sicheren Betrieb der Software, kümmern sich um Probleme und nehmen bei Bedarf individuelle Anpassungen vor, die bei proprietären Programmen meist nicht möglich sind.

Andrea Wörrlein ist Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug.
Quelle: VNC

„Der entscheidende Vorteil von Open Source in Sicherheitsfragen ist die Transparenz“, betont Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. „Nutzer müssen nicht auf die Zusicherungen eines Herstellers vertrauen, dass eine Software bestimmte Sicherheits- und Datenschutzanforderungen erfüllt. Sie können auf die wachen Blicke einer großen Community zählen und jederzeit selbst Prüfungen vornehmen.“ Das bedeute nicht, dass Open Source automatisch sicher ist. Allerdings sorgen eine engagierte Community und ein kontrollierter Entwicklungsprozess für zuverlässige, sichere und vertrauenswürdige Software.      Jürgen Frisch

Kommentare sind deaktiviert