Ist Open Source Software wirklich weniger sicher als proprietäre Software?
Vor einiger Zeit habe ich die Frage gestellt: Wie sähe eine Welt aus, in der es keine Patente mehr gibt und alles Open Source entwickelt wird?
Für mich nicht überraschend kam sofort der Einwand in den Kommentaren, dass es diesbzgl. Sicherheitsbedenken gibt – wenn auch schwer begründbar. Die Meinung, dass Open Source Software weniger sicher sei als proprietäre Software, haben viele. Offen zugeben, dass sie es jedoch nicht begründen können, tuen die Wenigsten.
Hierbei handelt es sich nämlich mehr um ein so genanntes #mindset Problem als um ein wirklich belegbares Faktum. Bis heute hält sich unter Nicht-ITlern hartnäckig die Vorstellung/ Denkweise/ Mindset, dass proprietäre Software mehr Sicherheit bietet als Open Source Software. Aber wieso eigentlich?
Zum Allgemeinen Verständnis:
Proprietäre Software ist Software, deren Quellcode nicht offen einsehbar ist. Als Nutzer oder Besitzer dieser Software bekomme ich nur ein Kompilat, den Quellcode kann ich jedoch auf mögliche Sicherheitslücken nicht analysieren. Deshalb wird sie auch „Closed Software“ genannt.
Open Source Software ist Software, deren Quellcode veröffentlicht und somit für alle einsehbar ist. Als Nutzer der Software bekomme ich den kompletten Quellcode und kann ihn somit eigenständig auf Sicherheitslücken untersuchen.
Tatsächlich handelt es sich bei der Frage, ob Open Source Software oder proprietäre Software mehr Sicherheit garantiert, um zwei völlig verschiedene Ansätze Sicherheit zu bieten. Während proprietäre Software oft mit dem Konzept Security trough/ by Obscurity in Verbindung gebracht wird, wird in Bezug auf Open Source Software oft Linus’s Law: „Given enough eyeballs, all bugs are shallow.“ zitiert.
Mit Security through Obscurity ist gemeint, dass die Sicherheit dadurch gewährleistet wird, dass der Quellcode nicht veröffentlicht ist. Dadurch können mögliche Hacker den Quellcode nicht (so einfach) untersuchen und Sicherheitslücken finden – so zumindest die Theorie. Sicherheit wird also durch die Verschleierung bzw. die versuchte Geheimhaltung des Sicherheitsmechanismus hergestellt.
Linus Law ist benannt nach Linus Torvald. Er ist einer der Urväter der Open Source Entwicklung. Massgeblich treibt er die Entwicklung des Linux Kernel voran. Linus’s Gesetz (Law) bedeutet frei übersetzt und weitergedacht, dass mit mehr Augen mehr Programmierfehler zu entdecken seien.
Was heißt das jetzt genau in Bezug auf IT-Sicherheit und Open Source Entwicklungen?
Grundsätzlich ist erst mal festzuhalten, es gibt keine 100% IT-Sicherheit (Cybersecurity). So hat sich auch Gartner von diesem Begriff in seinen Technologie Trends schon vor ein paar Jahren verabschiedet. Seitdem redet man von risk&trust also Risiko und Vertrauen in Bezug auf IT-Sicherheit.
Also müssen wir die Frage umformulieren: Welche Form von Risiko und Vertrauen in Bezug auf IT-Sicherheit bietet Open Source Entwicklung?
Der Vorteil von Open Source Software ist, dass der Quellcode zugänglich und einsehbar ist. Wer also wissen möchte, ob die Lösung sicher ist, kann dies und sollte dies selbstständig tun. Denn nur, wenn man sich selbst vergewissert, kann man auch wirklich sicher sein, ob die Lösung Sicherheit bietet oder nicht. Also, ob man ihr ultimativ Vertrauen kann, weil man es selbst überprüft hat.
Nun gibt es natürlich Milliarden von Zeilen an Code, nicht jeder ist Programmierer:in und auch nicht jeder Programmierer:in überprüft alle Zeilen Code. Aus diesem Grund muß man nun das Risiko eingehen und jenen Vertrauen, die den Code erstellt haben. Dies tut man bei proprietären Lösungen generell, man vertraut dem Anbieter, ohne die Möglichkeit der eigenständigen Überprüfung, dass die Lösung sicher ist.
Die Tatsache, ob ein Code sicher ist oder nicht, hängt somit nicht von der Frage ab, ob der Code Open Source ist oder proprietär. Es hängt schlichtweg mit der Qualität des Codes zusammen. Bei proprietärer Software muß ich auf die Qualität des Herstellers bzw. Anbieters vertrauen. Bei Open Source muß ich auf die Qualität des Erstellers aka der Programmierenden vertrauen – kann diese aber auch unabhängig prüfen.
Open Source ist somit eben keine Technologie, sondern ein Ansatz und eine Herangehensweise Technologie zu entwickeln. Dies hat viel mehr mit Kultur und Gesellschaft im eigentlichen Sinne zu tun als mit Technologie.
In dem Sinne kann man nicht sagen, dass Open Source Software weniger sicher sei als proprietäre Software. Denn es geht um ganz unterschiedliche Ansätze auf der einen Seite Technologien zu entwickeln und auf der anderen Sicherheit herzustellen.
Open Source Software setzt auf Transparenz & Vertrauen
Proprietäre Software setzt auf Verschleierung & Vertrauen.
Du hast die Wahl!