Wie konnte Heartbleed bloß geschehen? Die Schuld ist schnell auf das Open-Source-Modell der OpenSSL-Software geschoben, und wie so oft lautet die Antwort „Ja, aber…“. Der Heartbleed-Bug kann zweifellos als bisher größte Sicherheitskatastrophe im Internet bezeichnet werden, sowohl was die schwere der Lücke angeht, als auch ihre Verbreitung. Nachdem die erste Panik verflogen ist, haben längst die Schuldzuweisungen begonnen. Open Source ist schuld! Stimmt, die OpenSSL-Software, die den Bug beinhaltet hat ist Open Source, aber diese Tatsache ist nicht das eigentliche Problem – sondern mangelnde Ressourcen für derart wichtige und weitverbreitete Open-Source-Projekte.
Wie konnte das geschehen?
Nachdem die Heartbleed-Sicherheitslücke bekannt geworden ist, war die erste Frage: Was kann ich und muss ich tun um meine Daten zu schützen? Diese Frage wurde schnell und seit dem oft beantwortet. Kurz darauf tauchte die nächste große Frage auf: Wie konnte das passieren? Auch hier gab es schnell erste Antworten, allerdings haben diese das Kernproblem, wenn überhaupt, nur gestreift.
Heartbleed ist in der OpenSSL-Verschlüsselungs-Software gefunden worden. Der Software also, die auf zwei Dritteln aller Web-Server zum Einsatz kommt. Wäre dieser Bug in kommerzieller Software aufgetaucht, könnten wir ganz einfach das Unternehmen dahinter beschuldigen. OpenSSL ist aber kein kommerzielles Programm, es ist Open-Source-Software, die von einem kleinen Team von Mitarbeitern und Freiwilligen entwickelt und gepflegt wird. Wir können also kaum einen unbezahlten Entwickler zur Verantwortung ziehen, für einen Fehler in einer Software, die auf 66 Prozent aller Web-Server kostenlos zum Einsatz kommt.
Blame it on Open Source
Okay, OpenSSL ist also nicht der Hauptschuldige. Dann muss es aber das Open-Source-Modell generell sein. Freie und quelloffene Software, hat in den letzten Jahren den Ruf aufgebaut, höchst verlässlich und sicher zu sein. Sicherer als die meisten kommerziellen Produkte, da jeder daran mitarbeiten kann. „Je mehr Menschen Einblick in den Quellcode haben, desto seichter sind die Fehler“ – das zumindest besagt das von Eric S. Raymond aufgestellte Linus-Gesetz. Im Zuge des Heartbleed-Bugs sind allerdings viele Zweifel aufgekommen, ob dieses Gesetz noch zutrifft.
Tut es, denn so langsam kommen wir dem Problem näher. Würde es sich bei OpenSSL um ein kommerziell unterstütztes Projekt, mit einem professionellen Entwickler-Team handeln, hätte der Programmier- und Prüfvorgang hätte anders ausgesehen, und der Heartbleed-Bug hätte vermieden werden können. Und damit wären wir beim Kernproblem: Der Mangel an Ressourcen.
Free as in Beer
Der große Reiz an Open-Source-Software für Nutzer und Unternehmen ist sicherlich, dass sie kostenlos genutzt werden kann. Für Entwickler ist der Reiz dagegen natürlich in der freien Zugänglichkeit des Quellcodes begründet. Doch woher sollen diese Entwickler, die an der Software mitarbeiten, bezahlt werden, wenn niemand etwas für den Einsatz der Software bezahlen muss? Open-Source-Projekte finanzieren sich ganz unterschiedlich: Manche komplett durch Spenden von Privatpersonen und die Mitarbeit Freiwilliger, andere werden von Unternehmen finanziell unterstützt oder gar gegründet und betrieben. Viele große Unternehmen allerdings, die von dem Einsatz von Open-Source-Software stark profitieren, wie Facebook, Amazon, Google und so weiter, stellen zudem Mitarbeiter ein, die Vollzeit an den genutzten Open Source-Projekten mitarbeiten.
Allerdings erhält nicht jedes Projekt die Unterstützung, die es verdient, oder benötigt – so wie im Fall OpenSSL. Das Projekt, dessen Software auf zwei Dritteln aller Webserver läuft, hat gerade einen festangestellten Mitarbeiter – nicht gerade was man bei einer derart weitverbreiteten Software erwartet. In den fünf Jahren seit Gründung der OpenSSL Software Foundation (OSF) hat diese nie mehr als eine Millionen US-Dollar Bruttoumsatz erzielt.
Die Gründe dafür liegen zum einen bei der OSF selber – es wird oft kritisiert, dass die Organisation keine starke Führung hat, die die Richtung vorgibt und die Finanzierung sicherstellt. Zum anderen sind aber auch die von der OpenSSL-Software profitieren Unternehmen mit ihrer mangelnden Unterstützung dafür verantwortlich. Gerade bei einem derart wichtigen und weitverbreiteten Programm kann es eigentlich nicht angehen, dass es von einem Kreis von nur 6 Haupt-Committern gepflegt wird, von denen auch nur einer Vollzeit daran arbeiten kann. Wir können nur hoffen, dass die entsprechenden Unternehmen Heartbleed als Weckruf verstehen und endlich den wichtigen Open Source-Projekten die Unterstützung zukommen lassen, die sie verdienen und auch dringend benötigen.
Image (adapted) „Symbol der letzten Tage. #heartbleed“ by snoopsmaus (CC BY-SA 2.0)
Artikel per E-Mail verschicken
Schlagwörter: Bug, Heartbleed, OpenSSL, sicherheit
1 comment