Offen für alles
Ist Software wirklich sicherer, wenn jeder den Quellcode prüfen kann? Oder lässt sich Open-Source-Software im Gegenteil besonders leicht sabotieren?
Ist Software wirklich sicherer, wenn jeder den Quellcode prüfen kann? Oder lässt sich Open-Source-Software im Gegenteil besonders leicht sabotieren?
Die letzte Woche ist in Sachen Computer-Sicherheit echt nicht gut gelaufen. Erst die Nachricht, dass schon wieder mehrere Millionen E-Mail-Konten gehackt worden sind. Ich bin zwar anscheinend nicht betroffen. Aber um wirklich sicher zu gehen, sollte ich – eigentlich – besser meine Passwörter ändern.
Und einige Tage später kommt dann Heartbleed. Das ist ein Fehler in SSL, das den Durchschnittsuser beim Surfen im Web ja grade schützen soll. In dem es eine verschlüsselte Kommunikation zwischen Server und Client-Computer ermöglicht und den Server auffordert, sich per Zertifikat als authentisch auszuweisen.
Der Fehler ermöglicht böswilligen Angreifern nicht nur, Passwörter und Userdaten auf Servern im großen Stil auslesen. Er könnte theoretisch auch verwendet werden, um mit gefälschten Server-Zertifikaten vermeintliche Software-Updates einzuspielen, die in Wirklichkeit Schadcode enthalten. Dreimal dürfen Sie raten, was die Sicherheitsexperten empfehlen. Natürlich: Das Auswechseln der Passwörter.
Richtig lustig wird die Geschichte aber erst, wenn man sich das große Bild anschaut: Felix von Leitner, bekannter Blogger und IT-Sicherheitsberater aus dem Chaos Computer Club, hat die Geschichte in in einem Blogbeitrag mit einem kräftigen Schuss Verschwörungstheorie unterlegt. Möglicherweise, so seine These, ist der Fehler ja absichtlich in Open SSL platziert worden. Vielleicht hat ja sogar ein Geheimdienst - hat da jemand NSA gesagt? - den Programmierer dafür bezahlt. Natürlich kann man nichts beweisen, denn die Dienste führen ihre verdeckten Operationen ja immer so aus, dass sich alles „glaubhaft abstreiten“ lässt. Mich erinnert das Setting immer mehr an Mafia-Filme, in denen der Pate sagt: „Und denkt dran. Es muss wie ein Unfall aussehen“.
Jedenfalls ein Fest für Verschwörungstheoretiker, das Ganze. Und Spiegel Online machte daraus dann eine Hetzjagd auf den armen Mann, der den Bug tatsächlich programmiert hat. Dabei hat die ganze Geschichte doch noch einen viel spannenderen Aspekt: Das schreibt Leitner auch selbst in einem Beitrag für die FAZ: „Wichtiger als die Schuldfrage ist, dass wir solche Probleme in Zukunft durch geeignete Qualitätssicherungsmaßnahmen verhindern. In dem Aspekt ist dieser Fehler besonders augenöffnend, weil seine Fehlerkategorie nach industrieüblichen Standards als besonders gering gilt. Hier ist offensichtlich eine Überarbeitung der Standards nötig.“
Das ist ein viel wichtigerer Punkt, auch wenn er nicht so unterhaltsam ist, wie die Schlapphut-Nummer: Die Sicherheitslücke steckt in einer weit verbreiteten Open-Source-Software. Damit hat das Argument, quelloffene Software sei sicherer als proprietäre Software (also Quellcode, der von einem Unternehmen unter Verschluss gehalten wird) weil ja jeder den Quellcode auf Schwachstellen prüfen kann, grade eine ziemliche Delle bekommen. (Ja, ich gebe zu, auch ich habe dieses Argument gerne verwendet).
Ganz so einfach ist es wohl doch nicht. Die Frage, wie Vertrauen und Transparenz in der Software-Entwicklung implementiert werden können, ist drängender denn je. (wst)
