 |
# taz.de -- „Heartbleed“ und Open-Source-Software: Sicherheit kostet |
|
|
|
> Nach dem Sicherheitsdesaster „Heartbleed“ stellt sich die |
|
> Finanzierungsfrage bei Open-Source-Projekten. Doch Geld kann neue |
|
> Probleme schaffen. |
|
|
 |
Bild: Passwörter ändern: „Heartbleed“ brachte viele Internet-Nutzer in Zu… |
|
|
|
Nur 2.000 US-Dollar beträgt die Summe, die die Stiftung OpenSSL jährlich an |
|
Spendeneinnahmen verzeichnet. Für eine Software, die jeder nutzen kann. Die |
|
so weit verbreitet ist, dass infolge der Sicherheitslücke „Heartbleed“ |
|
(Herzbluten) zwei Jahre lang ein großer Teil der verschlüsselten |
|
Internetverbindungen gar nicht so sicher verschlüsselt war. Und deren |
|
Macher sich nun dafür rechtfertigen müssen, dass niemand von ihnen den |
|
Fehler gefunden hat, sondern es einen Mitarbeiter des Google Security Teams |
|
dafür brauchte. |
|
|
|
Dabei gilt Open-Source-Software – solche, bei der der Quellcode offenliegt |
|
und von jedem bearbeitet und weiterverbreitet werden kann – als |
|
verhältnismäßig gut geschützt gegen Angriffe. „Freie Software hat eine Art |
|
Selbstheilungsmechanismus eingebaut, weil viel mehr Augen draufschauen als |
|
bei nichtfreier Software“, sagt Erik Albers von der Free Software |
|
Foundation Europe. Denn im Gegensatz zu Programmen etwa von Microsoft oder |
|
Apple, deren Code unter Verschluss bleibt, kann bei freier Software jeder |
|
in den Quellcode schauen. Jeder Kundige kann überprüfen, ob alles mit |
|
rechten Dingen zugeht. Ob es zum Beispiel keine Hintertürchen gibt, die |
|
Daten an Geheimdienste weiterleiten. |
|
|
|
Immerhin: 9.000 US-Dollar nahm die Stiftung OpenSSL allein in der zweiten |
|
Aprilwoche ein, nach dem Heartbleed-Desaster. Größtenteils Kleinspenden von |
|
Privatpersonen, hier mal fünf Dollar, da mal zehn, aus der ganzen Welt. |
|
Jetzt, auf einmal. Die Frage, die angesichts der Zahlen im Raum steht: |
|
Braucht freie Software andere, bessere Arten der Finanzierung? |
|
|
|
Ja, meint Steve Marquess von der OpenSSL-Stiftung. Er klagt in einem |
|
Blogbeitrag über den Mangel an finanzieller Unterstützung und schreibt: |
|
„Ihr wisst, wer gemeint ist.“ Gemeint sind etwa große Unternehmen, die |
|
OpenSSL kostenlos nutzen und sich damit die Ausgaben für kostenpflichtige |
|
Lösungen sparen. Aber trotzdem nicht spenden. |
|
|
|
## Prekäre Finanzierung |
|
|
|
Auch Johannes Stahl, Geschäftsführer von Werk21, sagt: „Die meisten |
|
Open-Source-Projekte sind eher prekär finanziert.“ Stahl kennt den Markt – |
|
sein Unternehmen verdient Geld damit, freie Software kommerziell zu |
|
verwerten. Das funktioniert beispielsweise so: Ein Kunde wünscht sich zu |
|
einem Open-Source-Programm eine neue Funktion. Werk21 programmiert die – |
|
und stellt sie gleichzeitig wieder als freie Software zur Verfügung. So |
|
kommt die neue Funktion nicht nur dem zahlenden Kunden zugute, sondern auch |
|
allen anderen Nutzern. |
|
|
|
Dieses Modell funktioniere allerdings nicht bei jeder Software, sagt Stahl. |
|
Wo es eine starke Konkurrenz gebe, wo sehr spezialisierte Programmierer wie |
|
Kryptografen gebraucht würden, wo sich kaum zusätzliche Funktionen zum |
|
Programm verkaufen ließen – überall da müsse das Geld anderswoher kommen. |
|
|
|
## Also doch Spenden? |
|
|
|
Albers findet: „Wenn man freie Software verwendet, ist es ist nur fair, |
|
auch etwas zurückzugeben.“ Trotzdem glaubt er nicht, dass mehr Geld freie |
|
Software besser und Sicherheitslücken unwahrscheinlicher machen würde. |
|
„Geld kann auch schaden, denn wer in Software Geld reinsteckt, will in der |
|
Regel wieder Geld herauskriegen.“ Dadurch entstehe Druck und das erhöhe die |
|
Fehleranfälligkeit. Das sieht Stahl anders. „Manchmal ist Druck gar nicht |
|
schlecht.“ Schließlich sei es besser, manche Ergebnisse schon morgen zu |
|
haben und nicht erst in fünf Jahren. Etwa ein Update, das eine |
|
Sicherheitslücke schließt. |
|
|
|
Dazu kommt: Auch eine gute Finanzierung, die Programmierern Freiräume lässt |
|
und keinen Druck aufbaut, kann Probleme schaffen – ökonomische wie ideelle. |
|
Mozilla zum Beispiel, bekannt für seinen Browser Firefox. Mozilla erhält |
|
einen guten Teil seines Geldes von Google. Google mischt aber gerade mit |
|
seinem eigenen Browser Chrome den Markt auf. In Nord- und Südamerika, in |
|
weiten Teilen Asiens und Europas ist Chrome bereits die Nummer eins. Wird |
|
Google Mozilla noch weiterfinanzieren, falls Firefox in die |
|
Bedeutungslosigkeit abrutscht? Und was passiert mit Mozilla, wenn der |
|
größte Geldgeber abspringt? |
|
|
|
## Spenden und Abhängigkeiten |
|
|
|
„Mozilla hat tatsächlich eine gewisse Abhängigkeit von Google aufgebaut“, |
|
sagt Albers. Ein Dilemma zwischen prekärer Finanzierung durch Spenden und |
|
Abhängigkeit von großen Geldgebern aus der Wirtschaft. Aus der Koalition |
|
kommt da die Idee, das Bundesamt für Sicherheit in der Informationstechnik |
|
mit Prüfaufträgen zu betrauen. Stahl schlägt dagegen einen staatlichen Topf |
|
vor, bei dem Open-Source-Projekte selbst Unterstützung beantragen können. |
|
Es sei nur wichtig, sicherzustellen, dass kein Geld daraus an große |
|
Konzerne gehe. Die könnten ihre Open-Source-Vorhaben schließlich auch |
|
selbst finanzieren. |
|
|
|
Peter Ganten, Vorstandsvorsitzender der Open Source Business Alliance, |
|
findet, dass mehr Geld allein sowieso nicht reicht. Natürlich gebe es die |
|
völlig unterfinanzierten Projekte, sagt er. Aber auch die seien nicht |
|
anfälliger für Sicherheitslücken als nichtfreie Software. |
|
|
|
Das Problem, sagt Ganten, sei ein Denkfehler. „Der Betreiber, der mit der |
|
Software arbeitet, hat die Pflicht, für die Sicherheit zu sorgen.“ Also: |
|
Nicht die kleine Softwareklitsche, die ihr Produkt unter freier Lizenz in |
|
die Welt stellt, müsse allein die Verantwortung tragen, sondern die Bank, |
|
die es auf ihre Server spielt und ihre Kunden damit Geschäfte abwickeln |
|
lässt. Und hier komme wieder der Staat als Geldgeber ins Spiel: Der |
|
profitiere ja auch von freier Software und sei daher in der Pflicht, sich |
|
an der Überprüfung zu beteiligen. Anders als bei nichtfreier Software ist |
|
das schließlich möglich. |
|
|
|
18 Apr 2014 |
|
|
|
## AUTOREN |
|
|
 |
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Finanzen |
|
Open Source |
|
Sicherheitslücken |
|
Heartbleed |
|
Big Data |
|
Hacker |
|
Microsoft |
|
Heartbleed |
|
Heartbleed |
|
Heartbleed |
|
Heartbleed |
|
Heartbleed |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Kommentar Datenschutz Unternehmen: Vertrauen ist schlecht |
|
|
|
Unternehmen werben gerne mit Vertrauen, das man in sie investieren könne. |
|
Doch gerade beim Datenverkehr gilt: Sicherheit ist besser. |
|
|
|
„Shellshock“-Lücke bei Apple und Linux: Die erste Angriffswelle läuft |
|
|
|
Nach dem Bekanntwerden einer 20 Jahre alten Sicherheitslücke wird diese |
|
schon ausgenutzt. Panik privater Nutzer ist unangebracht. |
|
|
|
Sicherheitslücke bei Internet Explorer: US-Regierung warnt vor Microsoft |
|
|
|
Über die Hälfte aller PC-Nutzer browst mit dem Internet Explorer. Sie |
|
werden jetzt vom Heimatschutzministerium vor einer schweren |
|
Sicherheitslücke gewarnt. |
|
|
|
Datenklau durch „Heartbleed“: Polizei nimmt Kanadier fest |
|
|
|
Die kanadischen Behörden haben einen 19-Jährigen abgeführt. Er soll die |
|
Sicherheitslücke ausgenutzt haben, um an Steuernummern zu kommen. |
|
|
|
„Heartbleed“ und Kontrollverlust: Ich hasse Edward Snowden |
|
|
|
Jedes neue Sicherheitsleck, ob von der NSA gesteuert oder nur ein |
|
unschuldiger Bug, zeigt dem User allein eins: Hilflosigkeit gegenüber der |
|
Technik. |
|
|
|
Reaktionen auf „Heartbleed“: Ein ziemlich trivialer Fehler |
|
|
|
Die Sicherheitslücke „Heartbleed“ betrifft so gut wie alle, die das |
|
Internet nutzten. Kein Wunder also, dass im Netz ausführlich diskutiert |
|
wird. |
|
|
|
Sicherheitslücke „Heartbleed“: Eine Backdoor ist keine Backdoor? |
|
|
|
Nach dem Fehler in der Verschlüsselungssoftware OpenSSL spekulieren |
|
Experten, ob bewusst eine Hintertür geschaffen wurde. Etwa für |
|
Geheimdienste. |
|
|
|
Sicherheitslücke im Netz: „Heartbleed“ geht alle an |
|
|
|
Eine Sicherheitslücke bei der Verschlüsselungstechnik OpenSSL trifft eine |
|
Vielzahl von Angeboten im Internet. Nutzern hilft nur ein Passwort-Wechsel. |
