Open-Source-Software, weder besonders fehlerhaft noch unsicher Die Community sorgt für Sicherheit

Autor: Julia Mutzbauer

Open-Source-Anwendungen werden noch immer beliebter. Zugleich halten sich Bedenken hinsichtlich der Sicherheit. Der Software-Entwickler Virtual Network Consult (VNC) will diese Befürchtungen entkräften.

Firma zum Thema

Andrea Wörrlein, Geschäftsführerin von VNC : „Der entscheidende Vorteil von Open Source in Sicherheitsfragen ist die Transparenz: Nutzer müssen nicht auf die Zusicherungen eines Herstellers vertrauen, dass eine Software bestimmte Sicherheits- und Datenschutzanforderungen erfüllt“
Andrea Wörrlein, Geschäftsführerin von VNC : „Der entscheidende Vorteil von Open Source in Sicherheitsfragen ist die Transparenz: Nutzer müssen nicht auf die Zusicherungen eines Herstellers vertrauen, dass eine Software bestimmte Sicherheits- und Datenschutzanforderungen erfüllt“
(© duncanandison – stock.adobe.com)

Selbst ein großer Software-Konzern wie Microsoft, dessen ehemaliger Chef Steve Ballmer das Linux-Betriebssystem einst mit einem „Krebsgeschwür“ verglich, arbeitet mittlerweile in vielen Open-Source-Projekten mit und nutzt quelloffene Software-Komponenten in seinen Anwendungen und Services. Dennoch halten sich nach Angaben der Open-Source-Entwickler von VNC „einige hartnäckige Vorurteile über die vermeintliche Unsicherheit quelloffener Lösungen“.

Dabei sei Open Source sehr sicher, und viele Unternehmen entschieden sich gerade wegen der hohen Sicherheit dafür, argumentieren die Open-Source-Befürworter. Sie listen fünf Vorurteile aus ihrer Perspektive auf und erklären nachfolgend, warum sie diese für unbegründet halten:

  • Schwachstellen sind für jeden einsehbar: Das ist richtig – und bei genauer Betrachtung ein dickes Sicherheitsplus. Denn nicht nur Cyber-Kriminelle könnten den frei verfügbaren Code nach Angriffspunkten durchforsten, sondern alle interessierten Entwickler und Unternehmen. Im Endeffekt wüchsen dadurch viel mehr Augen über die Qualität des Codes als bei Closed Source, so dass mögliche Schwachstellen schnell entdeckt werden können, so die Argumentation. Zudem gehe die Community transparent mit allen Sicherheitslecks um, während bei proprietären Anwendungen oft unbekannt sei, welche Lücken in ihnen schlummerten.
  • Niemand prüft den gesamten Code: Falsch. VNC: Unternehmen und Behörden mit hohen Sicherheitsanforderungen führten gezielt Audits durch oder zögen Spezialisten hinzu, die den Code in umfangreichen Prüfprozessen auf Bugs und Schwachstellen abklopften.
    Bei proprietären Anwendungen hingegen sei so etwas meist unmöglich, und wenn doch, dann in der Regel nur unter Auflagen und mit erheblichen Einschränkungen. Viele Unternehmen, die die Weiterentwicklung der Anwendungen entscheidend vorantreiben, beauftragten regelmäßig unabhängige Prüfer, die den Code auf Herz und Nieren untersuchten. Die Offenheit sei nicht nur Fassade – sie wird tatsächlich und intensiv genutzt.
  • Jeder kann Fehler und Hintertüren einbauen: Theoretisch sei das möglich, aber Open-Source-Projekte beruhten auf einem sehr kontrollierten Entwicklungsprozess. Alle Änderungen am Code würden dokumentiert und von der Community penibel geprüft und getestet, so dass problematische Programmzeilen identifiziert und aussortiert werden könnten.
    Tatsächlich finden nur Änderungen und Neuerungen, die diese Code Review erfolgreich durchlaufen haben, ihren Weg in stabile Programmversionen. Dieses Vorgehen minimiert nicht nur das Risiko von Sicherheitslücken, sondern auch von Stabilitäts- und Kompatibilitätsproblemen.
    Bei Closed Source sei, so VNC, die Gefahr von Sicherheits- und Datenschutzverletzungen ungleich größer, weil niemand den Code kontrollieren könne. Das zeigten auch die immer wieder auftauchenden Spekulationen um mögliche Hintertüren in nicht offenen Firmwares und Betriebssystemen.
  • Niemand kümmert sich um Bugs und Lecks: Open-Source-Projekte sind keine Ansammlung von Hobby-Entwicklern, die unorganisiert zusammenarbeiten. Hinter vielen quelloffenen Anwendungen steht eine große Community engagierter Entwickler und Unternehmen, in der es feste Abläufe und Roadmaps gibt. Die Ressourcen sind oft umfangreicher als bei Anbietern proprietärer Software. Das führe laut VNC dazu, dass Bugs und Fehler häufig viel schneller behoben seien. Zudem pflege die Community ihre Anwendungen meist deutlich länger: Selbst alte Programmversionen würden noch mehrere Jahre mit Sicherheits-Updates und anderen Verbesserungen versorgt.
  • Es gibt keinen professionellen Support: Manche Unternehmen treibt die Sorge um, sie würden für Open-Source-Software keinen professionellen Support erhalten. Allerdings böten die Firmen, die sich in der Open-Source-Entwicklung engagierten, in der Regel eine höchst professionelle Unterstützung an, setzt VNC dagegen. Das sei ein wichtiger Teil ihres Geschäftsmodells.
    Zudem hätten sich zahlreiche Dienstleister auf den Support von quelloffenen Anwendungen spezialisiert. Sie helfen Unternehmen bei der sicheren Einrichtung und dem sicheren Betrieb der Software, kümmern sich um Probleme und nehmen bei Bedarf individuelle Anpassungen vor, die bei proprietären Programmen meist nicht möglich sind.

Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug sieht in der Transparenz einen entscheidenden Vorteil von Open Source: „Nutzer müssen nicht auf die Zusicherungen eines Herstellers vertrauen, dass eine Software bestimmte Sicherheits- und Datenschutzanforderungen erfüllt. Sie können auf die wachen Blicke einer großen Community zählen und jederzeit selbst Prüfungen vornehmen.“ Das bedeute nicht, dass Open Source automatisch sicher sei, doch eine engagierte Community und ein kontrollierter Entwicklungsprozess würden für zuverlässige, sichere und vertrauenswürdige Software sorgen.

(ID:47121558)