Open Source Software

Warum offene Systeme mehr Sicherheit bieten

Eine gute Hintertür sieht aus wie Code

Auch der amerikanische Sicherheitsexperte Bruce Schneier sieht Open-Source-Software im Vorteil.
Auch der amerikanische Sicherheitsexperte Bruce Schneier sieht Open-Source-Software im Vorteil.
Foto: Peter Houlihan

Wobei man sich diese Zusammenarbeit in etwa so vorzustellen hat wie die mit der Camorra: Wer nicht freiwillig mitspielt wird bestochen, wer kein Geld nimmt bedroht und schließlich auf mannigfaltige Weise dazu gezwungen, den Überwachern Zutritt zu den eigenen Systemen zu gewähren.
Nach Ansicht von Bruce Schneier ist es bei komplexen Software-Systemen nahezu unmöglich, festzustellen, ob sie irgendwo ein Leck haben. Aus Sicht der NSA müssen solche Lecks vor allem drei Kriterien erfüllen.

  • Erstens müssen sie schwer zu entdecken sein, das heißt sie sollten die normalen Funktionen des betreffenden Programms beziehungsweise Systems so wenig wie möglich stören. Im Idealfall sollte alles genauso optimal funktionieren wie immer. Je kleiner die Hintertür, desto leichter ist sie zu entdecken. Anders gesagt: Eine gute Hintertür sollte aussehen wie normaler, notwendiger Programmcode.

  • Zweitens sollte seine Existenz immer einigermaßen glaubwürdig abgestritten werden können. Wenn sie entdeckt wird, sollte die Backdoor immer wie ein dummer Fehler aussehen, ein Tippfehler im Code zum Beispiel. Hintertüren, die man allzu offen sieht, sind dagegen oft gar keine. Sondern tatsächlich nur Fehler ...

  • Drittens: Je weniger Menschen etwas über die Backdoor wissen, desto geringer ist die Wahrscheinlichkeit, dass sie entdeckt wird.

Indirekt lässt sich aus diesen Punkten folgern, dass Open-Source-Systeme grundsätzlich schwerer zu unterminieren sind als geschlossene Systeme. Die Wahrscheinlichkeit, dass die Hintertür jemand entdeckt, ist deutlich größer, weil sich einfach viel mehr Menschen mit den Systemen beschäftigen.

Bruce Schneier nennt noch einen anderen, ebenso banalen wie überzeugenden Grund, warum kommerzielle Standardsoftware gefährlich sein kann: Wer mit seinen Programmen Geld verdienen will und muss, hat natürlich wenig Interesse an Scherereien mit Behörden, wird also in aller Regel auf die "Wünsche" der NSA eingehen. Und dass es offenbar so ist, hat die Praxis ja bereits bewiesen.

Auch Christoph Volkmer von Alfresco spricht mit seinen Kunden ständig über Security-Themen. Natürlich weiß er, dass es absolute Sicherheit nicht gibt. Darauf komme es auch gar nicht an. "Wer vor einem Löwen wegläuft, muss nicht auf Dauer schneller sein als der Löwe, sondern lediglich schneller als Andere, die auch vor ihm auf der Flucht sind." Will sagen: Wichtig ist, es dem potentiellen Eindringling so schwer wie möglich zu machen, damit dieser sich ein leichteres Opfer aussucht. Diesen Aspekt betont auch Bruce Schneier, der sich sicher ist, dass es bei den Geheimdiensten eine Abwägung gibt zwischen Aufwand und potentiellem Nutzen.

Christoph Volkmer rät Nutzern von Enterprise-Content Management-Systemen, möglichst wenige Daten hin und her zu bewegen, sondern eher Links. Diese kann man so gestalten, dass sie nur zeitlich begrenzt funktionieren beziehungsweise automatisch tot sind, wenn der Empfänger das Unternehmen verlassen hat.

Volkmer glaubt, dass das wachsende Sicherheitsbedürfnis und die besseren Möglichkeiten der Open-Source-Idee in den kommenden Jahren insgesamt massiven Rückenwind bringen werden: "Wir sehen doch bei den Smartphone Apps, dass sich Software sehr gut über Marktplätze von Communities entwickeln lässt. So wird auch die Zukunft bei der Entwicklung von PC-Programmen aussehen." Seiner Ansicht nach wird der Beruf des IT-Beraters in zehn Jahren weitgehend ausgestorben sein. "Halbfertige Produkte zu liefern und sie anschließend mit vielen Tagessätzen lauffähig zu machen, das wird der Markt nicht ewig mitmachen. Die Kunden sind auch schon viel zu lange zur Ader gelassen worden."