Schwarmintelligenz

Mehr Sicherheit dank Open Source

Je mehr Experten an Systemen und Programmen mitarbeiten, desto größer ist die Chance, dass potenzielle Schwachstellen zeitig erkannt und beseitigt werden. Anwender sollten in ihrer IT-Security-Strategie deshalb vermehrt auf Open Source setzen.

Bereits seit den frühen 1980er-Jahren existiert das Konzept der Open-Source-Software. Seine Anfänge nahm es in der Zusammenarbeit von Wissenschaft und Wirtschaft mit dem Ziel, den neuen Herausforderungen mit speziell entwickelten Softwarelösungen zu begegnen. Als in den 1990er-Jahren technische Innovationen auch von einer breiteren Masse in der Gesellschaft angenommen wurden, stieg das Interesse an der Weiterentwicklung des "offenen" Ansatzes, und immer mehr Nutzer erkannten den Mehrwert solcher Lösungen für sich. Schließlich gab es hier nicht nur den Vorteil, eine Community hinter sich zu haben - Open Source spart bares Geld. Auch für Firmennetzwerke bringt es Vorteile: Lösungen werden flexibler, und Unternehmen können ergänzende Anwendungen und Dienstleistungen leichter in ihre IT-Umgebungen integrieren, um auf neue Geschäftsanforderungen zu reagieren und die Möglichkeiten für ihre Nutzer zu erweitern.

Gerade bei Sicherheitslösungen wirkt das Prinzip Open Source für viele jedoch abschreckend. Offener Quellcode? Von betriebseigener Sicherheitssoftware? Das öffnet dem Missbrauch ja quasi Tür und Tor - so die Sorge viele IT-Entscheider. Dass eigentlich aber genau das Gegenteil der Fall ist, wird oftmals übersehen. Dabei gibt es vor allem einen wesentlichen Aspekt, der Open-Source-Lösungen ganz besonders im Sicherheitsbereich interessant macht: nämlich den der Intelligenz der Massen.

Bastelt ein Unternehmen an einer proprietären betriebseigenen Sicherheitssoftware, sind daran in der Regel zwischen einem und zehn Programmierer beteiligt. Diese sind dafür zuständig, die Software an die Bedürfnisse des Unternehmens anzupassen und fortlaufend auf etwaige Schwachstellen zu überprüfen. Was im ersten Augenblick als wunderbarer Ansatz scheint, bildet auf den zweiten jedoch ein enormes Sicherheitsrisiko. Denn was hierbei oftmals vergessen wird, ist der Faktor der menschlichen Psychologie.

Community - die objektive Instanz

Dadurch, dass sich die Entwickler tagaus, tagein mit der Lösung beschäftigen - und außer ihnen niemand sonst den Quellcode auf Schwachstellen überprüfen kann -, steigt die Wahrscheinlichkeit zunehmend, dass diese irgendwann betriebsblind werden. Jeder kennt das - setzt man sich lange Zeit mit nur einem Thema auseinander, ist man irgendwann so tief in der Materie drin, dass einem die grundlegendsten Dinge nicht mehr auffallen. Auch beim Thema Softwareentwicklung ist das nicht anders. Was Unternehmen fehlt, ist eine objektive Instanz, die hin und wieder überprüft, ob das, was softwaremäßig im Einsatz ist, tatsächlich jeglichen kritischen Untersuchungen standhält.

Und genau das kann Open Source leisten. Der Community-Gedanke von Open-Source-Ansätzen garantiert, dass es eine Menge Experten gibt - Entwickler, Studenten, Freiwillige -, die es sich zur Aufgabe machen, vorhandenen offenen Quellcode so akribisch wie möglich zu durchleuchten, um etwaige Sollbruchstellen zu füllen. Die Motivation dieser Leute ist dabei unterschiedlich. Die einen machen es aus persönlichem Interesse. Andere testen daran ihr akademisches Wissen. Und wieder andere haben einfach den Idealismus, dank eigenen Spürsinns die Community vor fehlerhaftem Quellcode zu bewahren.

Doch egal, was die Motivation auch sein mag: Tatsache ist, dass es hier eben nicht mehr nur die immer gleichen fünf Augenpaare sind, die etwaigen Unternehmensquellcode auf Mängel untersuchen. Vielmehr sind es mitunter Tausende Augenpaare, die es sich zur Aufgabe machen, denn unternehmenseigenen Quellcode so rein wie möglich zu halten. Die Wahrscheinlichkeit, dass Sicherheitslücken so schnell gesehen und behoben werden, steigert sich dadurch ins Unermessliche.

Natürlich kann es immer schwarze Schafe geben, die die Offenheit von Quellcode ausnutzen, um gezielt Sicherheitsbedrohungen einzubauen. Diesen stehen jedoch Tausende an weißen Schafen gegenüber, von denen diese Mängel mindestens einem über kurz oder lang garantiert auffallen werden. Eben weil der Quellcode von der Community unter permanenter Beobachtung steht.

Für derartig hochfrequentierte Reviews der eigenen Software von externen Experten müssten Unternehmen bei proprietären Lösungen in der Regel sehr tief in die Tasche greifen - was die meisten aus diesem Grund natürlich nicht machen.