Editorial 06/2014

Mit Herzblut und Penunze

Der Heartbleed-Bug hat gezeigt, das Open-Source-Software nicht vor Fehlern schützt. Aber Freie Software bietet Unternehmen weltweit die Möglichkeit, Ressourcen ohne Gesichtsverlust auf einem Projekt zu vereinen. Das nutzt allen.

Liebe Leserinnen und Leser,

es war schwer, in den letzten Wochen als Computer-Nutzer nichts vom Heartbleed-Bug mitzubekommen [1]. Die Sicherheitslücke in OpenSSL erregte die Gemüter dies- und jenseits des Grabens, der freie Software von proprietärer trennt. Einig waren sich die Kommentatoren nur in der Einschätzung, dass es sich um einen kapitalen Fehler handelte, der so eigentlich nicht hätte passieren dürfen. Immerhin basiert weltweit ein Großteil des Datenverkehrs zwischen Kunden und Unternehmen beim Bestellen, Überweisen oder ähnlich kritischen Operationen auf diesem Stück freier Software.

In der Folge versuchten sich zahlreiche Kommentatoren auf dem Rücken des unglücklichen Entwicklers zu profilieren, in dessen Haut kaum jemand stecken wollte. Die Schlussfolgerungen fielen ebenso sattsam bekannt wie entgegengesetzt aus: Freie Software eigne sich nicht für sicherheitskritische Infrastrukturen [2], schimpften die einen; freie Software habe es erst möglich gemacht, den Bug zu finden und schnell zu beheben [3], argumentierten die anderen.

Natürlich dauerte es nicht lange, bis die Vermutung aufkam, die NSA sei Nutznießer [4] oder gar Auftraggeber des Bugs. US-Präsident Barack Obama leistete seinen komödiantischen Beitrag, als er versicherte, die Schlapphüte würden Sicherheitslücken öffentlich machen, im nächsten Satz aber gleich einschränkte, die Bugs blieben doch geheim, wenn es der Arbeit des Geheimdiensts nütze [5].

Handgreiflich wurde dann das OpenBSD-Projekt: Die Entwickler um den ohnehin streitlustigen Maintainer Theo de Raadt begannen mit dem Ausmisten und warfen in einer Hauruck-Aktion mal eben die Hälfte des Codes auf den digitalen Müllhaufen. Am Ende legten sie sogar einen Fork mit dem Namen LibreSSL auf [6]. Der radikale Schritt weckte bei Experten eher Unbehagen [7].

Das der Bug so lange unbemerkt blieb, lag vor allem daran, dass das OpenSSL-Projekt mit elf Entwicklern – von denen nur einer Vollzeit an dem Projekt arbeitet – es schlicht nicht schaffte, alle Teile ordentlich zu begutachten. Erschwerend kommt hinzu, dass die Spezifikation von SSL enorm komplex ausfällt.

Die Linux Foundation hat nun genau das Richtige getan und jene zur Kasse gebeten, die bislang vom sicheren Datenverkehr profitieren: die Internet-Unternehmen. Im ersten Anlauf kamen 3,6 Millionen US-Dollar zusammen – nicht viel angesichts der Milliardenumsätze, aber genug, um das Projekt endlich auf eine vernünftige Basis zu stellen [8]. Die "Core Infrastructure Initiative" könnte zudem künftig noch anderen Projekten eine Heimat bieten. Sinnvoll wäre es, denn ohne freie Software geht im Internet heute nichts mehr.

Der Vorteil freier Software liegt aber nicht nur in der Tatsache, dass sich dieser Bug finden ließ, sondern darin, dass ein freies Projekt es den Beteiligten aus der Industrie ermöglicht, Kräfte und finanzielle Mittel ohne Gesichtsverlust in einem Punkt zu vereinen. Eine Handvoll Closed-Source-Implementationen aus unterschiedlichen Unternehmen ist etwas, was die sicherheitskritische Infrastruktur wirklich nicht braucht.

Herzliche Grüße,

Andreas Bohle

Stellv. Chefredakteur

Infos

[1] Heartbleed-Bug: http://de.wikipedia.org/wiki/Heartbleed

[2] "Freie Software gehört nicht in die kritische Infrastruktur": http://www.hob.de/news/2014/news0814.jsp

[3] "Freie Software erleichtert die Fehlersuche": http://esr.ibiblio.org/?p=5665

[4] "Nutzt die NSA Heartbleed?": http://www.tagesschau.de/ausland/nsaheartbleed100.html

[5] Präsident Obama zum Umgang der Geheimdienste mit Sicherheitslücken: http://www.wired.com/2014/04/obama-zero-day/

[6] OpenBSD mistet OpenSSL aus und forkt das Projekt: http://heise.de/-2174226

[7] Kritik am Verhalten von OpenBSD: http://blog.fefe.de/?ts=ada960dc

[8] Linux Foundation sammelt Geld für das OpenSSL-Projekt ein: http://www.linuxfoundation.org/news-media/announcements/2014/04/amazon-web-services-cisco-dell-facebook-fujitsu-google-ibm-intel

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 1 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 05/2017: Linux unterwegs

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Grub2 reparieren
Brain Stuff, 26.04.2017 02:04, 1 Antworten
Ein Windows Update hat mir Grub zerschossen ... der Computer startet nicht mehr mit Grub, sondern...
Linux open suse 2,8
Wolfgang Gerhard Zeidler, 18.04.2017 09:17, 2 Antworten
Hallo.bitte um Hilfe bei. Code fuer den Rescue-login open suse2.8 Mfg Yvo
grep und sed , gleicher Regulärer Ausdruck , sed mit falschem Ergebnis.
Josef Federl, 15.04.2017 00:23, 1 Antworten
Daten: dlfkjgkldgjldfgl55.55klsdjfl jfjfjfj8.22fdgddfg {"id":"1","name":"Phase L1","unit":"A",...
IP Cams aufzeichnen?
Bibliothek der Technischen Hochschule Mittelhessen / Giessen, 07.04.2017 09:25, 7 Antworten
Hallo, da nun des öfteren bei uns in der Nachbarschaft eingebrochen wird, würde ich gern mein...
WLAN lässt sich nicht einrichten
Werner Hahn, 21.03.2017 14:16, 2 Antworten
Dell Latitude E6510, Ubuntu 16.4, Kabelbox von Telecolumbus. Nach Anklicken des Doppelpfeiles (o...