Editorial 06/2014

Mit Herzblut und Penunze

Der Heartbleed-Bug hat gezeigt, das Open-Source-Software nicht vor Fehlern schützt. Aber Freie Software bietet Unternehmen weltweit die Möglichkeit, Ressourcen ohne Gesichtsverlust auf einem Projekt zu vereinen. Das nutzt allen.

Liebe Leserinnen und Leser,

es war schwer, in den letzten Wochen als Computer-Nutzer nichts vom Heartbleed-Bug mitzubekommen [1]. Die Sicherheitslücke in OpenSSL erregte die Gemüter dies- und jenseits des Grabens, der freie Software von proprietärer trennt. Einig waren sich die Kommentatoren nur in der Einschätzung, dass es sich um einen kapitalen Fehler handelte, der so eigentlich nicht hätte passieren dürfen. Immerhin basiert weltweit ein Großteil des Datenverkehrs zwischen Kunden und Unternehmen beim Bestellen, Überweisen oder ähnlich kritischen Operationen auf diesem Stück freier Software.

In der Folge versuchten sich zahlreiche Kommentatoren auf dem Rücken des unglücklichen Entwicklers zu profilieren, in dessen Haut kaum jemand stecken wollte. Die Schlussfolgerungen fielen ebenso sattsam bekannt wie entgegengesetzt aus: Freie Software eigne sich nicht für sicherheitskritische Infrastrukturen [2], schimpften die einen; freie Software habe es erst möglich gemacht, den Bug zu finden und schnell zu beheben [3], argumentierten die anderen.

Natürlich dauerte es nicht lange, bis die Vermutung aufkam, die NSA sei Nutznießer [4] oder gar Auftraggeber des Bugs. US-Präsident Barack Obama leistete seinen komödiantischen Beitrag, als er versicherte, die Schlapphüte würden Sicherheitslücken öffentlich machen, im nächsten Satz aber gleich einschränkte, die Bugs blieben doch geheim, wenn es der Arbeit des Geheimdiensts nütze [5].

Handgreiflich wurde dann das OpenBSD-Projekt: Die Entwickler um den ohnehin streitlustigen Maintainer Theo de Raadt begannen mit dem Ausmisten und warfen in einer Hauruck-Aktion mal eben die Hälfte des Codes auf den digitalen Müllhaufen. Am Ende legten sie sogar einen Fork mit dem Namen LibreSSL auf [6]. Der radikale Schritt weckte bei Experten eher Unbehagen [7].

Das der Bug so lange unbemerkt blieb, lag vor allem daran, dass das OpenSSL-Projekt mit elf Entwicklern – von denen nur einer Vollzeit an dem Projekt arbeitet – es schlicht nicht schaffte, alle Teile ordentlich zu begutachten. Erschwerend kommt hinzu, dass die Spezifikation von SSL enorm komplex ausfällt.

Die Linux Foundation hat nun genau das Richtige getan und jene zur Kasse gebeten, die bislang vom sicheren Datenverkehr profitieren: die Internet-Unternehmen. Im ersten Anlauf kamen 3,6 Millionen US-Dollar zusammen – nicht viel angesichts der Milliardenumsätze, aber genug, um das Projekt endlich auf eine vernünftige Basis zu stellen [8]. Die "Core Infrastructure Initiative" könnte zudem künftig noch anderen Projekten eine Heimat bieten. Sinnvoll wäre es, denn ohne freie Software geht im Internet heute nichts mehr.

Der Vorteil freier Software liegt aber nicht nur in der Tatsache, dass sich dieser Bug finden ließ, sondern darin, dass ein freies Projekt es den Beteiligten aus der Industrie ermöglicht, Kräfte und finanzielle Mittel ohne Gesichtsverlust in einem Punkt zu vereinen. Eine Handvoll Closed-Source-Implementationen aus unterschiedlichen Unternehmen ist etwas, was die sicherheitskritische Infrastruktur wirklich nicht braucht.

Herzliche Grüße,

Andreas Bohle

Stellv. Chefredakteur

Infos

[1] Heartbleed-Bug: http://de.wikipedia.org/wiki/Heartbleed

[2] "Freie Software gehört nicht in die kritische Infrastruktur": http://www.hob.de/news/2014/news0814.jsp

[3] "Freie Software erleichtert die Fehlersuche": http://esr.ibiblio.org/?p=5665

[4] "Nutzt die NSA Heartbleed?": http://www.tagesschau.de/ausland/nsaheartbleed100.html

[5] Präsident Obama zum Umgang der Geheimdienste mit Sicherheitslücken: http://www.wired.com/2014/04/obama-zero-day/

[6] OpenBSD mistet OpenSSL aus und forkt das Projekt: http://heise.de/-2174226

[7] Kritik am Verhalten von OpenBSD: http://blog.fefe.de/?ts=ada960dc

[8] Linux Foundation sammelt Geld für das OpenSSL-Projekt ein: http://www.linuxfoundation.org/news-media/announcements/2014/04/amazon-web-services-cisco-dell-facebook-fujitsu-google-ibm-intel

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 1 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 10/2016: Kryptographie

Digitale Ausgabe: Preis € 0,00
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

zweites Bildschirm auf gleichem PC einrichten
H A, 30.09.2016 19:16, 0 Antworten
Hallo, ich habe Probleme mein zweites Bildschirm einzurichten.(Auf Debian Jessie mit Gnome) Ich...
Probleme mit MPC/MPD
Matthias Göhlen, 27.09.2016 13:39, 2 Antworten
Habe gerade mein erstes Raspi Projekt angefangen, typisches Einsteigerding: Vom Raspi 3B zum Radi...
Soundkarte wird erkannt, aber kein Ton
H A, 25.09.2016 01:37, 6 Antworten
Hallo, Ich weiß, dass es zu diesem Thema sehr oft Fragen gestellt wurden. Aber da ich ein Linu...
Scannen nur schwarz-weiß möglich
Werner Hahn, 20.09.2016 13:21, 2 Antworten
Canon Pixma MG5450S, Dell Latitude E6510, Betriebssyteme Ubuntu 16.04 und Windows 7. Der Canon-D...
Meteorit NB-7 startet nicht
Thomas Helbig, 13.09.2016 02:03, 4 Antworten
Verehrte Community Ich habe vor Kurzem einen Netbook-Oldie geschenkt bekommen. Beim Start ersch...