Mit Herzblut und Penunze

Editorial 06/2014

15.05.2014
Der Heartbleed-Bug hat gezeigt, das Open-Source-Software nicht vor Fehlern schützt. Aber Freie Software bietet Unternehmen weltweit die Möglichkeit, Ressourcen ohne Gesichtsverlust auf einem Projekt zu vereinen. Das nutzt allen.

Liebe Leserinnen und Leser,

es war schwer, in den letzten Wochen als Computer-Nutzer nichts vom Heartbleed-Bug mitzubekommen [1]. Die Sicherheitslücke in OpenSSL erregte die Gemüter dies- und jenseits des Grabens, der freie Software von proprietärer trennt. Einig waren sich die Kommentatoren nur in der Einschätzung, dass es sich um einen kapitalen Fehler handelte, der so eigentlich nicht hätte passieren dürfen. Immerhin basiert weltweit ein Großteil des Datenverkehrs zwischen Kunden und Unternehmen beim Bestellen, Überweisen oder ähnlich kritischen Operationen auf diesem Stück freier Software.

In der Folge versuchten sich zahlreiche Kommentatoren auf dem Rücken des unglücklichen Entwicklers zu profilieren, in dessen Haut kaum jemand stecken wollte. Die Schlussfolgerungen fielen ebenso sattsam bekannt wie entgegengesetzt aus: Freie Software eigne sich nicht für sicherheitskritische Infrastrukturen [2], schimpften die einen; freie Software habe es erst möglich gemacht, den Bug zu finden und schnell zu beheben [3], argumentierten die anderen.

Natürlich dauerte es nicht lange, bis die Vermutung aufkam, die NSA sei Nutznießer [4] oder gar Auftraggeber des Bugs. US-Präsident Barack Obama leistete seinen komödiantischen Beitrag, als er versicherte, die Schlapphüte würden Sicherheitslücken öffentlich machen, im nächsten Satz aber gleich einschränkte, die Bugs blieben doch geheim, wenn es der Arbeit des Geheimdiensts nütze [5].

Handgreiflich wurde dann das OpenBSD-Projekt: Die Entwickler um den ohnehin streitlustigen Maintainer Theo de Raadt begannen mit dem Ausmisten und warfen in einer Hauruck-Aktion mal eben die Hälfte des Codes auf den digitalen Müllhaufen. Am Ende legten sie sogar einen Fork mit dem Namen LibreSSL auf [6]. Der radikale Schritt weckte bei Experten eher Unbehagen [7].

Das der Bug so lange unbemerkt blieb, lag vor allem daran, dass das OpenSSL-Projekt mit elf Entwicklern – von denen nur einer Vollzeit an dem Projekt arbeitet – es schlicht nicht schaffte, alle Teile ordentlich zu begutachten. Erschwerend kommt hinzu, dass die Spezifikation von SSL enorm komplex ausfällt.

Die Linux Foundation hat nun genau das Richtige getan und jene zur Kasse gebeten, die bislang vom sicheren Datenverkehr profitieren: die Internet-Unternehmen. Im ersten Anlauf kamen 3,6 Millionen US-Dollar zusammen – nicht viel angesichts der Milliardenumsätze, aber genug, um das Projekt endlich auf eine vernünftige Basis zu stellen [8]. Die "Core Infrastructure Initiative" könnte zudem künftig noch anderen Projekten eine Heimat bieten. Sinnvoll wäre es, denn ohne freie Software geht im Internet heute nichts mehr.

Der Vorteil freier Software liegt aber nicht nur in der Tatsache, dass sich dieser Bug finden ließ, sondern darin, dass ein freies Projekt es den Beteiligten aus der Industrie ermöglicht, Kräfte und finanzielle Mittel ohne Gesichtsverlust in einem Punkt zu vereinen. Eine Handvoll Closed-Source-Implementationen aus unterschiedlichen Unternehmen ist etwas, was die sicherheitskritische Infrastruktur wirklich nicht braucht.

Herzliche Grüße,

Andreas Bohle

Stellv. Chefredakteur

Infos

[1] Heartbleed-Bug: http://de.wikipedia.org/wiki/Heartbleed

[2] "Freie Software gehört nicht in die kritische Infrastruktur": http://www.hob.de/news/2014/news0814.jsp

[3] "Freie Software erleichtert die Fehlersuche": http://esr.ibiblio.org/?p=5665

[4] "Nutzt die NSA Heartbleed?": http://www.tagesschau.de/ausland/nsaheartbleed100.html

[5] Präsident Obama zum Umgang der Geheimdienste mit Sicherheitslücken: http://www.wired.com/2014/04/obama-zero-day/

[6] OpenBSD mistet OpenSSL aus und forkt das Projekt: http://heise.de/-2174226

[7] Kritik am Verhalten von OpenBSD: http://blog.fefe.de/?ts=ada960dc

[8] Linux Foundation sammelt Geld für das OpenSSL-Projekt ein: http://www.linuxfoundation.org/news-media/announcements/2014/04/amazon-web-services-cisco-dell-facebook-fujitsu-google-ibm-intel

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 1 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 05/2015: Daten visualisieren

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 4 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

Admin Probleme mit Q4os
Thomas Weiss, 30.03.2015 20:27, 6 Antworten
Hallo Leute, ich habe zwei Fragen zu Q4os. Die Installation auf meinem Dell Latitude D600 verl...
eeepc 1005HA externer sound Ausgang geht nicht
Dieter Drewanz, 18.03.2015 15:00, 1 Antworten
Hallo LC, nach dem Update () funktioniert unter KDE der externe Soundausgang an der Klinkenbuc...
AceCad DigiMemo A 402
Dr. Ulrich Andree, 15.03.2015 17:38, 2 Antworten
Moin zusammen, ich habe mir den elektronischen Notizblock "AceCad DigiMemo A 402" zugelegt und m...
Start-Job behindert Bootvorgang, Suse 13.2, KDE,
Wimpy *, 20.02.2015 10:32, 4 Antworten
Beim Bootvorgang ist ein Timeout von 1 Min 30 Sec. weil eine Partition sdb1 gesucht und nicht gef...
Konfiguration RAID 1 mit 2 SSDs: Performance?
Markus Mertens, 16.02.2015 10:02, 6 Antworten
Hallo! Ich möchte bei einer Workstation (2x Xeon E5-2687Wv3, 256GB RAM) 2 SATA-SSDs (512GB) al...