Offene Software ist extrem verbreitet und oftmals die erste Wahl bei Unternehmen. Die Vorteile liegen klar auf der Hand: Open Source ist für jedermann zugänglich, jeder kann den Programmcode überprüfen und Fehler beheben. Aber viel zu wenige kontrollieren, wie belastbar das Ganze überhaupt ist. Das gilt für OpenSSL ebenso wie für die weitverbreitete Linux-Funktion Bash, in der ein Entwickler kürzlich ebenfalls eine schwere Sicherheitslücke namens Shellshock entdeckte. Erst Heartbleed, dann Shellshock – zwei schwere Sicherheitslücken haben die Internetbranche schockiert und so die Schwachstelle des „Gemeinschaftsprojekts Open Source“ in den Fokus gerückt. Dabei sei gerade diese „quelloffene Zusammenarbeit von Experten“ eine Möglichkeit, das Internet in seiner Gesamtheit vertrauenswürdiger zu machen, zeigt sich Prof. Norbert Pohlmann vom Institut für Internet-Sicherheit von der grundsätzlichen Idee überzeugt.
Um das Internet aber nachhaltig sicherer zu machen, müsste die IT-Branche investieren: Geld, damit Projekte wie OpenSSL mehr Mitarbeiter bezahlen und aufwendige Sicherheitstests machen können. Und Zeit, damit sich festangestellte Programmierer an der Arbeit der Community beteiligen können – eine Initiative in den USA macht Hoffnung: Die Linux Foundation sammelt Geld, um Open-Source-Projekte zu unterstützen. Knapp 20 IT-Konzerne sind bei der Core Infrastructure Initiative (CII) dabei, darunter Microsoft, Google und Amazon. Nach Angaben vom April zahlten sie 3,6 Millionen Dollar ein. Deutsche Unternehmen beteiligen sich derzeit nicht daran.
Trotzdem gibt es vielfach keine Alternative zu offener Software, nicht nur wegen deren enormer Verbreitung. „Ein besonderer Vorteil von Open-Source-Software ist die Möglichkeit, einen höheren Grad an Vertrauenswürdigkeit zu erreichen“, betont Prof. Norbert Pohlmann vom Institut für Internet-Sicherheit in Gelsenkirchen. Dieses Potenzial werde derzeit aber nicht ausreichend ausgeschöpft, weil der Aufwand hoch und teuer sei. Daher sei die CII sinnvoll. „Wir bräuchten in Deutschland auch eine solche Initiative, damit wir für uns wichtige Open-Source-Software sicherer und vertrauenswürdiger machen können“, meint Prof. Pohlmann – unabhängig von dem, was die Forschung bereits leiste.
Den gesamten Artikel gibt es unter folgender URL: http://www.handelsblatt.com/technologie/vernetzt/heartbleed-shellshock-und-co-sap-hat-einen-internen-software-tuev/10822324-3.html
Prof. Norbert Pohlmann im Handelsblatt – „Warum das Internet zum TÜV muss“
