An der Frage, ob proprietäre oder Open-Source-Software mehr Sicherheit verspricht, scheiden sich seit jeher die Geister. Mit einer bei der Universität Bonn in Auftrag gegebenen Studie versuchte die Open Source Business Alliance (OSBA) das ein für alle Mal zu klären – für Redakteurin Carina Schipper mit wenig überraschenden Ergebnissen.

Zunächst das Offensichtliche: Die Sicherheit und Vertrauenswürdigkeit von Softwaresystemen spielen eine kritische Rolle. Viele hängen in diesem Kontext immer noch einem längst überholten Dualismus an: Software wird entweder frei und quelloffen oder eben proprietär entwickelt. Mit diesem Irrglauben räumt die “Studie zum Vergleich der Sicherheit von Open-Source-Software und proprietärer Software” [1] von Dr. Marc Ohm von der Universität Bonn direkt auf. Ihm zufolge steckt in mehr als 90 Prozent der existierenden Software Open Source. Die Grenzen verschwimmen zunehmend und dementsprechend funktioniert die Einteilung der Softwarewelt in gut (Open Source) und böse (Closed Source) oder umgekehrt nicht mehr.

Vielmehr kommt Ohm in seiner von der Open Source Business Alliance (OSBA) initiieren Arbeit zu dem Schluss: “So unterschiedlich diese Entwicklungsmodelle auf den ersten Blick erscheinen mögen, so viele Gemeinsamkeiten weisen sie auf, wenn es darum geht, sichere Software zu produzieren.” Wenn das gewählte Entwicklungsmodell also noch keinen Hinweis darauf liefert, wer in Sachen Sicherheit letztlich die Nase vorn hat, braucht es andere Kriterien für die Beurteilung. Der Bonner Forscher bezieht beispielsweise Best Practices für sichere Softwareentwicklung und einige allgemeine Qualitätsmetriken ein. Wer dabei das Rennen macht, liegt auf der Hand: “Open-Source-Software ist hier eindeutig im Vorteil, da solche Kriterien durch die Quelloffenheit unabhängig, transparent und nachvollziehbar überprüfbar ist. Proprietäre Software, die als Closed-Source-Software entwickelt wird, kann oder will diese Transparenz oft nicht bieten.”

Allerdings will Ohm die beiden Lager mit seinen Erkenntnissen keinesfalls weiter spalten. Im Gegenteil, als Königsweg betrachtet er, das sprichwörtlich Beste aus beiden Welten zu kombinieren: kommerzielle Open-Source-Software. Sie vereine die Vorteile proprietärer Software (Support, Rechtssicherheit etc.) mit denen von Open-Source- Software (Quelloffenheit, Diversität etc.). Zu den Beispielen für solche Projekte zählen OpenOffice und Nextcloud, hinter deren Entwicklung maßgeblich Stiftungen oder Unternehmen stecken.

Am Ende stimme ich der Studie vollends zu, aber ein wichtiger Faktor, womöglich der mächtigste im Zusammenhang mit sicherer Software, fällt wie so oft unter den Tisch: der Mensch. Bei allem Hang zum Overengineering, kein System, mag es noch so sauber entwickelt sein, ist vollkommen sicher. Spätestens, wenn es um den vielzitierten ISO-OSI-Layer 8 geht, das Individuum, das das System bedient, ergibt sich ein beachtliches, nicht wirklich kalkulierbares Risiko. Die besten technischen Maßnahmen werden daran scheitern, einen unbedachten Nutzer davor zu schützen, auf einen Link zu klicken und damit Malware Tür und Tor zu öffnen.

Herzliche Grüße,

Carina Schipper

Redakteurin