Mehr Sicherheit durch Open Source?

Auf dem BSI-Kongress in Bonn diskutierten heute Experten darüber, ob Open Source für mehr IT-Sicherheit sorge. Magnus Harlander von der Sicherheits-Firma GeNUA bezeichnete die Behauptung "Open Source ist unsicher" als "Unfug". Andererseits bedeute "Open-Source-Software", dass sie nicht nur "open for read", sondern auch "open for write" sei. Die Transparenz von Open-Source sei eine Option für mehr Sicherheit, aber keine Gewissheit.

Harlander wies darauf hin, dass es sichere Software nur durch "institutionalisierte Review-Prozesse" geben könne: Man müsse Software während der Produktion und des Roll-Out testen und dokumentieren. Ein kontrolliertes Change-Management sei ebenfalls nötig. Roman Drahtmüller von Linux-Distributor SuSe pflichtete Harlander darin bei, meinte jedoch: "Sie können 25 Leute eine Open-Source-Software prüfen lassen, doch auch sie können Fehler übersehen."

Harlander wies darauf hin, dass es auch bei Open-Source-Software Hintertüren gebe. So habe es Jahre gedauert, eine "gezielt platzierte Hintertür" in dem weltweit verbreiteten WU-FTP zu finden. Auch bei Open SSL wurden erst jetzt schwerwiegende Programmierfehler bei einer Prüfung gefunden. Open Source sei deshalb kein Garant dafür, dass es keine Hintertüren gebe. Kommerzielle Anbieter von proprietärer Software könnten schließlich ihren Kunden oder auch einer externen Instanz den Code für Prüfungsverfahren zur Verfügung stellen. Würden dann Hintertüren auffliegen, hätte dies "ernste Konsequenzen".

Drahtmüller erinnerte daran, dass die "Absicht" beim Erstellen von Hintertüren entscheidend sei: Wurden sie vom Hersteller selbst, von Programmierern oder von Eindringlinen eingebracht? So brachen etwa Cracker in ein offenbar nur unzureichend gesichertes Open-Source-Entwicklerportal ein und hinterließen Hintertüren bei Open SSL, Sendmail und einem FTP-Demon, die jedoch rasch entdeckt wurden.

"In den vergangenen drei Jahren wurden sämtliche Hintertüren binnen 18 Stunden mit Hilfe eines MD5-Prüfsummenvergleichs entdeckt", behauptete Roman Drahtmüller. Sein Unternehmen könne binnen zwei Minuten auf diese Weise sämtliche SuSe-Versionen prüfen. Ob die Software auf dem Distributionsweg verändert wurde, könnten Nutzer selbst feststellen: Sie könnten aus dem Sourcecode dieselben Binär-Pakete herstellen wie der Hersteller selbst. SuSe unterschreibe zudem jedes Paket kryptografisch. Auch die Programmierer würden inzwischen auch zunehmend ihre Werke kryptografisch signieren.

Der Distributor hat kürzlich seinen Suse Linux Enterprise Server zur Prüfung bei der BSI-Zertifizierungsstelle angemeldet. Damit wolle er eine Brücke schlagen zwischen der Behauptung "Wir wissen was drin ist" und der Tatsache "Wir haben es nicht geschrieben", sagte Drahtmüller. Zum Thema Haftung will sich Drahtmüller erst im Juli auf dem Linux-Tag in Karlsruhe äußern. (Christiane Schulzki-Haddouti) / (anw)