Mit Herzblut und Penunze

Liebe Leserinnen und Leser,

es war schwer, in den letzten Wochen als Computer-Nutzer nichts vom Heartbleed-Bug mitzubekommen [1]. Die Sicherheitslücke in OpenSSL erregte die Gemüter dies- und jenseits des Grabens, der freie Software von proprietärer trennt. Einig waren sich die Kommentatoren nur in der Einschätzung, dass es sich um einen kapitalen Fehler handelte, der so eigentlich nicht hätte passieren dürfen. Immerhin basiert weltweit ein Großteil des Datenverkehrs zwischen Kunden und Unternehmen beim Bestellen, Überweisen oder ähnlich kritischen Operationen auf diesem Stück freier Software.

In der Folge versuchten sich zahlreiche Kommentatoren auf dem Rücken des unglücklichen Entwicklers zu profilieren, in dessen Haut kaum jemand stecken wollte. Die Schlussfolgerungen fielen ebenso sattsam bekannt wie entgegengesetzt aus: Freie Software eigne sich nicht für sicherheitskritische Infrastrukturen [2], schimpften die einen; freie Software habe es erst möglich gemacht, den Bug zu finden und schnell zu beheben [3], argumentierten die anderen.

Natürlich dauerte es nicht lange, bis die Vermutung aufkam, die NSA sei Nutznießer [4] oder gar Auftraggeber des Bugs. US-Präsident Barack Obama leistete seinen komödiantischen Beitrag, als er versicherte, die Schlapphüte würden Sicherheitslücken öffentlich machen, im nächsten Satz aber gleich einschränkte, die Bugs blieben doch geheim, wenn es der Arbeit des Geheimdiensts nütze [5].

Handgreiflich wurde dann das OpenBSD-Projekt: Die Entwickler um den ohnehin streitlustigen Maintainer Theo de Raadt begannen mit dem Ausmisten und warfen in einer Hauruck-Aktion mal eben die Hälfte des Codes auf den digitalen Müllhaufen. Am Ende legten sie sogar einen Fork mit dem Namen LibreSSL auf [6]. Der radikale Schritt weckte bei Experten eher Unbehagen [7].

Das der Bug so lange unbemerkt blieb, lag vor allem daran, dass das OpenSSL-Projekt mit elf Entwicklern – von denen nur einer Vollzeit an dem Projekt arbeitet – es schlicht nicht schaffte, alle Teile ordentlich zu begutachten. Erschwerend kommt hinzu, dass die Spezifikation von SSL enorm komplex ausfällt.

Die Linux Foundation hat nun genau das Richtige getan und jene zur Kasse gebeten, die bislang vom sicheren Datenverkehr profitieren: die Internet-Unternehmen. Im ersten Anlauf kamen 3,6 Millionen US-Dollar zusammen – nicht viel angesichts der Milliardenumsätze, aber genug, um das Projekt endlich auf eine vernünftige Basis zu stellen [8]. Die "Core Infrastructure Initiative" könnte zudem künftig noch anderen Projekten eine Heimat bieten. Sinnvoll wäre es, denn ohne freie Software geht im Internet heute nichts mehr.

Der Vorteil freier Software liegt aber nicht nur in der Tatsache, dass sich dieser Bug finden ließ, sondern darin, dass ein freies Projekt es den Beteiligten aus der Industrie ermöglicht, Kräfte und finanzielle Mittel ohne Gesichtsverlust in einem Punkt zu vereinen. Eine Handvoll Closed-Source-Implementationen aus unterschiedlichen Unternehmen ist etwas, was die sicherheitskritische Infrastruktur wirklich nicht braucht.

Herzliche Grüße,

Andreas Bohle

Stellv. Chefredakteur