Wie sicher ist Open Source Software?

Termin: 13. Januar 2015, 15.15 Uhr

Ort: Seminargebäude, SG 3-12

Thema: Wie sicher ist Open Source Software? Vortrag und Diskussion mit Lukas Kairies.

• Folien zum Vortrag
• Seminararbeit

Ankündigung

Wenn über die Vorteile von Open Source Software gesprochen wird, fällt meist das Argument, dass Open Source Software durch die freie Verfügbarkeit des Quellcodes eine erhöhte Sicherheit bietet. Schließlich könne sich jeder, somit auch IT-Sicherheitsexperten, von der Sicherheit überzeugen und gegebenenfalls auftretende Probleme offen legen. Trotzdem wurden allein im Jahr 2014 mehrere kritische Sicherheitslücken in weit verbreiteten Open Source Projekten entdeckt, welche zum Teil über mehrere Jahre unentdeckt blieben.

In diesem Referat soll geklärt werden, welchen Einfluss die Sichtbarkeit des Quellcodes auf die Sicherheit von Software hat. Dafür werden die Begriffe Open Source Software und Free Software eingeführt. Zudem soll ein Einblick in die verschiedenen Sicherheitsphilosophien von Open Source Software und proprietärer Software geben und Angriffsmöglichkeiten auf Basis der Sichtbarkeit des Quellcodes erläutert werden. Abschließend wird mit dem "Heartbleed Bug" aus dem Jahr 2014 ein praktisches Beispiel behandelt.

Lukas Kairies, 6.1.2015

Anmerkungen

Wie sicher ist Open Source Software (OSS)? Mit dem Heartbleed-Bug, der im April 2014 auch größere mediale Aufmerksamkeit erfuhr, wurde der Mythos zu Grabe getragen, dass die prinzipielle Möglichkeit des Aufdeckens von Fehlern in quelloffener Software schon Garant dafür ist, dass dies auch wirklich in angemessenen Zeiträumen geschieht.

Die Überraschung der Experten (siehe das Zitat von Bruce Schneier) bezieht sich aber nicht auf diesen Mythos, sondern auf den eklatanten Qualitäts-Mangel im Entwicklungsprozess selbst, den man bis dahin nur mit schlecht ausfinanzierter Entwicklung proprietärer Software assoziiert und so bei Freier Software nicht erwartet hatte. Dies wird die weitere Verbreitung von OSS auch im unternehmerischen Umfeld nicht aufhalten, bedeutet aber, dass hier ein Umdenken bzgl. der Bereitstellung von Ressourcen für die Sicherung von Qualität erforderlich ist. Es bleibt die Frage, was es einer Gesellschaft wert ist, auf eine Infrastruktur qualitativ hochwertiger OSS zurückgreifen zu können, und wie diese "Werthaltigkeit" (die in einer kapitalistisch organisierten Gesellschaft immer die Frage nach der Bereitstellung der dafür erforderlichen finanziellen Mittel einschließt) nachhaltig gesichert wird.

Im zweiten Teil der Diskussion wurde deutlich, dass Fehler in Software zum Alltag des Software-Einsatzes gehören, und heute nicht nur Geheimdienste auf der "Jagd" nach veröffentlichten Fehlern und Sicherheitslücken sind, sondern umfassende Strukturen und institutionalisierte Verfahrensweisen existieren, wie mit solchen Problemen umgegangen wird. In Deutschland laufen diese Informationen beim BSI - Bundesamt für Sicherheit in der Informationstechnik - zusammen, das zusammen mit einschlägigen Branchenverbänden die Aufgabe hat, das Führen dieses technologiekritischen Diskurses nicht nur theoretisch, sondern auch praktisch abzusichern.

Hans-Gert Gräbe, 28.01.2015