Mit Herzblut und Penunze

Editorial 06/2014

15.05.2014
Der Heartbleed-Bug hat gezeigt, das Open-Source-Software nicht vor Fehlern schützt. Aber Freie Software bietet Unternehmen weltweit die Möglichkeit, Ressourcen ohne Gesichtsverlust auf einem Projekt zu vereinen. Das nutzt allen.

Liebe Leserinnen und Leser,

es war schwer, in den letzten Wochen als Computer-Nutzer nichts vom Heartbleed-Bug mitzubekommen [1]. Die Sicherheitslücke in OpenSSL erregte die Gemüter dies- und jenseits des Grabens, der freie Software von proprietärer trennt. Einig waren sich die Kommentatoren nur in der Einschätzung, dass es sich um einen kapitalen Fehler handelte, der so eigentlich nicht hätte passieren dürfen. Immerhin basiert weltweit ein Großteil des Datenverkehrs zwischen Kunden und Unternehmen beim Bestellen, Überweisen oder ähnlich kritischen Operationen auf diesem Stück freier Software.

In der Folge versuchten sich zahlreiche Kommentatoren auf dem Rücken des unglücklichen Entwicklers zu profilieren, in dessen Haut kaum jemand stecken wollte. Die Schlussfolgerungen fielen ebenso sattsam bekannt wie entgegengesetzt aus: Freie Software eigne sich nicht für sicherheitskritische Infrastrukturen [2], schimpften die einen; freie Software habe es erst möglich gemacht, den Bug zu finden und schnell zu beheben [3], argumentierten die anderen.

Natürlich dauerte es nicht lange, bis die Vermutung aufkam, die NSA sei Nutznießer [4] oder gar Auftraggeber des Bugs. US-Präsident Barack Obama leistete seinen komödiantischen Beitrag, als er versicherte, die Schlapphüte würden Sicherheitslücken öffentlich machen, im nächsten Satz aber gleich einschränkte, die Bugs blieben doch geheim, wenn es der Arbeit des Geheimdiensts nütze [5].

Handgreiflich wurde dann das OpenBSD-Projekt: Die Entwickler um den ohnehin streitlustigen Maintainer Theo de Raadt begannen mit dem Ausmisten und warfen in einer Hauruck-Aktion mal eben die Hälfte des Codes auf den digitalen Müllhaufen. Am Ende legten sie sogar einen Fork mit dem Namen LibreSSL auf [6]. Der radikale Schritt weckte bei Experten eher Unbehagen [7].

Das der Bug so lange unbemerkt blieb, lag vor allem daran, dass das OpenSSL-Projekt mit elf Entwicklern – von denen nur einer Vollzeit an dem Projekt arbeitet – es schlicht nicht schaffte, alle Teile ordentlich zu begutachten. Erschwerend kommt hinzu, dass die Spezifikation von SSL enorm komplex ausfällt.

Die Linux Foundation hat nun genau das Richtige getan und jene zur Kasse gebeten, die bislang vom sicheren Datenverkehr profitieren: die Internet-Unternehmen. Im ersten Anlauf kamen 3,6 Millionen US-Dollar zusammen – nicht viel angesichts der Milliardenumsätze, aber genug, um das Projekt endlich auf eine vernünftige Basis zu stellen [8]. Die "Core Infrastructure Initiative" könnte zudem künftig noch anderen Projekten eine Heimat bieten. Sinnvoll wäre es, denn ohne freie Software geht im Internet heute nichts mehr.

Der Vorteil freier Software liegt aber nicht nur in der Tatsache, dass sich dieser Bug finden ließ, sondern darin, dass ein freies Projekt es den Beteiligten aus der Industrie ermöglicht, Kräfte und finanzielle Mittel ohne Gesichtsverlust in einem Punkt zu vereinen. Eine Handvoll Closed-Source-Implementationen aus unterschiedlichen Unternehmen ist etwas, was die sicherheitskritische Infrastruktur wirklich nicht braucht.

Herzliche Grüße,

Andreas Bohle

Stellv. Chefredakteur

Infos

[1] Heartbleed-Bug: http://de.wikipedia.org/wiki/Heartbleed

[2] "Freie Software gehört nicht in die kritische Infrastruktur": http://www.hob.de/news/2014/news0814.jsp

[3] "Freie Software erleichtert die Fehlersuche": http://esr.ibiblio.org/?p=5665

[4] "Nutzt die NSA Heartbleed?": http://www.tagesschau.de/ausland/nsaheartbleed100.html

[5] Präsident Obama zum Umgang der Geheimdienste mit Sicherheitslücken: http://www.wired.com/2014/04/obama-zero-day/

[6] OpenBSD mistet OpenSSL aus und forkt das Projekt: http://heise.de/-2174226

[7] Kritik am Verhalten von OpenBSD: http://blog.fefe.de/?ts=ada960dc

[8] Linux Foundation sammelt Geld für das OpenSSL-Projekt ein: http://www.linuxfoundation.org/news-media/announcements/2014/04/amazon-web-services-cisco-dell-facebook-fujitsu-google-ibm-intel

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 1 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 11/2014: VIDEOS BEARBEITEN

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

WLAN-Signalqualität vom Treiber abhängig
GoaSkin , 29.10.2014 14:16, 0 Antworten
Hallo, für einen WLAN-Stick mit Ralink 2870 Chipsatz gibt es einen Treiber von Ralink sowie (m...
Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 6 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...