DISKURS ZUR SICHERHEIT VON OPEN SOURCE-SOFTWARE


Anlassbezogen wurde im Rahmen der Arbeitskreissitzung am 19.11.2021 eine fachlich vertiefende Diskussion zur Sicherheit von Open Source-Software geführt. Ausgangspunkt der Diskussion war dabei die These „Schließlich gilt der Einsatz von proprietärer Software grundsätzlich als unsicherer.“, die von Extern zur Diskussion in den Arbeitskreis gegeben wurde. Aus Sicht der Mitglieder des Arbeitskreises lassen sich grundsätzlich folgende Punkte in diesem Bezug festhalten:

Aus rein rechtlicher Sicht ist sämtliche Software in Deutschland proprietär, da es in Deutschland keine sogenannte „Public Domain Software“ gibt. Das Urheberrecht weißt sämtlichen Quellcode seinen Besitzerinnen und Besitzern zu (wichtiges Schutzrecht!). Demnach zeichnet sich Open Source in Deutschland dadurch aus, dass die Entwicklerinnen und Entwickler ihre Software unter einer freien Lizenz weitergeben und damit die freie Nutzung erlauben, inklusive des Rechts, die Software weiterzuentwickeln und weiter zu verteilen.

Sicherheit von Software ist keine alleinige Frage von Open Source vs. Closed Source, sondern in Abhängigkeit von weiteren Kriterien ganzheitlich zu betrachten. Generell gilt dabei in der Sicherheitsforschung nicht die Frage, ob Fehler im Code sind, sondern wie viele Fehler und wann sie auffallen. Eine wichtige Rolle spielt die Dienstleister-Struktur und man sollte die Geschäftsmodelle der Lieferanten genauer betrachten und hinterfragen („Vertrauen“). Die Frage der Sicherheit von Software, egal welcher Art, untersteht Compliance-Anforderungen bei deren Entwicklung und Einsatz. Entsprechend muss die Gesamtumgebung unabhängig von der Sourcingfrage professionell gemanagt und betrieben werden.

Open Source wird mit den Vorteilen der Transparenz und dem vermeintlichen „ständigen Blick“ der Entwicklerinnen und Entwickler auf den Quellcode verbunden. Dass man sich darauf jedoch nicht einfach blind verlassen sollte, hat in 2021 die Sicherheitslücke in dem Softwaremodul Log4J Bei einer Übernahme von Open Source-Modulen sollte trotz vermeintlich hoher Verbreitung und Nutzung immer eine eigene Überprüfung vorgenommen werden. Einen Vorteil den offener Quellcode bei der Identifizierung von Sicherheitslücken allerdings zumindest theoretisch bietet, ist, dass die Verbreitung schneller analysiert werden kann und der Fehler schneller behoben werden kann. Ob sich dies im individuellen Fall in der Praxis bewahrheitet, bleibt jedoch offen.

Open Source erhält in Hinblick auf „Digitale Souveränität“ eine steigende Bedeutung – sowohl in Unternehmen, als auch im öffentlichen Sektor. Bei der Formulierung von Sorgfaltskriterien im Rahmen von Ausschreibung kann Open Source ein sinnvolles Kriterium sein.

Entsprechend der oben festgehaltenen Punkte konnte die Ausgangsthese „Schließlich gilt der Einsatz von proprietärer Software grundsätzlich als unsicherer.“ nicht bestätigt werden.