Freie Software und Sicherheit

type = “post”

„Wenn jetzt jeder an Software mitarbeiten kann ist die dann auch sicher? Man könnte doch auch Schadsoftware basteln!“

Der Kern solcher Äußerungen ist das fehlende Vertrauen in Projekte, die nicht zu einem Unternehmen gehören. Das Verhältnis zwischen Anbieter und Kundinnen (also: „ich bezahle und dann hat das zu funktioneren“), das wir gewohnt sind, greift hier nicht. Und das macht erstmal misstrauisch.

Der Idee der Freien Software liegt ein anderes Prinzip zugrunde. Und das ist es wert, es sich mal genauer anzuschauen:
Es ist ein Prinzip der Emanzipation. Eine Befreiung aus der Unmündigkeit. Denn wer garantiert, dass die proprietäre Software sicher ist? Woher wissen wir, dass keine Hintertüren eingebaut sind, durch die man in PC, Smartphone etc. eindringen und Schaden anrichten könnte? Außenstehende haben nicht die Möglichkeit, die Software zu überprüfen, da der Quellcode oft nicht zugänglich gemacht wird. Also muss man sich auf das Wort der Firmen verlassen, die auch das Produkt verkaufen wollen. Das schafft nicht wirklich Vertrauen.

Bei Freier Software ist der Code für jeden einsehbar. Dadurch entsteht eine eigene Kontrolldynamik, die versucht vor wie auch immer gearteten Angriffen zu schützen. Und auch wenn man selbst nicht in der Lage ist, den Code zu verstehen und auf Sicherheitslücken hin zu überprüfen (d.h. auch wenn man keine Programmiererin ist), ist es leichter einem Produkt zu vertrauen, auf das viele Leute ständig ein Auge haben, als einem, das sich nicht in die Karten schauen lässt.

Absolute Sicherheit kann und wird es nie geben. Der Heartbleed Bug ist ein Beispiel dafür, dass auch Sicherheitslücken in Freier Software lange unentdeckt bleiben können.
Der entscheidende Punkt hier ist aber, dass jede Person die Freiheit hat, zu entscheiden, wieviel Vertrauen sie der Software entgegenbringt. Sie hat die Freiheit Fachleute zu beauftragen, die für sie nach Sicherheitslücken suchen. Sie hat die Freiheit, die Software selbst zu überprüfen. Sie hat die Freiheit, dies der Community zu überlassen. Sie hat aber auch die Freiheit, sich in den Entwicklungsprozess einzubringen (das geht auch ohne, dass man programmieren können muss). Sie ist frei.

Hintertüren in proprietärer Software (seien sie da versehentlich oder absichtlich) sind übrigens kein hypothetisches Problem und auch keine Verschwörungstheorie. Sie sind da und sie sind belegt. Siehe [1], [2] und [3]. Es kann also bei beiden Systemen keine garantierte Sicherheit geben. Die Entscheidung zwischen diesen beiden Entwicklungsmodellen kann also nicht auf Grundlage der Sicherheitsfrage gelöst werden. Vielmehr gilt es sich zwischen zwei Philosophien zu entscheiden.