Sicherheit mit Opensource

Im Rahmen dieses CAST Workshops steht die Frage nach "Sicherheit durch Open Source?" im Mittelpunkt.

Open Source bedeutet unter anderem, dass der Quellcode einer Software bis ins letzte Detail überprüft werden kann. Die Methodik bei der Entwicklung von Open-Source-Software hat ihre Leistungsfähigkeit und Sicherheit unter Beweis gestellt. Insbesondere mit Linux hat sich ein leistungsstarkes Open-Source-Betriebssystem etabliert. Als sicheres Server-Betriebssystem hat Linux im Unternehmensbereich bereits eine beachtliche Verbreitung gefunden.

Eines haben reale Welt und der Cyberspace sicherlich gemeinsam: Sie haben ein Sicherheitsproblem. Doch während manche Forscher, Entwickler und Politiker noch darum streiten, wer für diese Unsicherheit verantwortlich ist, wollen andere den Schuldigen längst ausgemacht haben: Microsoft. Immer wieder wird die allgegenwärtige Software aus Redmond durch Viren ausgetrickst, durch Hacker-Angriffe offen gelegt. Dagegen hat die Methodik bei der Entwicklung von Open-Source-Software mittlerweile ihre Leistungsfähigkeit und Sicherheit unter Beweis gestellt. Insbesondere mit Linux hat sich ein leistungsstarkes Open-Source-Betriebssystem etabliert.

Als sicheres Server-Betriebssystem hat Linux im Unternehmensbereich bereits eine beachtliche Verbreitung gefunden.

Dennoch kann und muss die Frage ob Open Source Software tatsächlich auch mehr Sicherheit bietet, durchaus kontrovers diskutiert werden. Auf der einen Seite bietet Open Source Software Sicherheit durch Transparenz. Auch die Vorteile eines nachvollziehbaren "Software-Darwinismus", bei dem mehrere alternative Implementierungen miteinander konkurrieren und bei dem durch ihre Artenvielfalt eine geringere Anfälligkeit gegenüber Schädigungen besteht, sind nicht verkennbar. Andererseits halten Kritiker dagegen, dass Benutzer den offen gelegten Quellcode wohl kaum wirklich prüfen können. Darüber hinaus gestaltet sich auch der Prozess der Zertifizierung von Open Source Systemen nach unabhängigen Kriterien (z.B. ITSEC) nicht ganz unproblematisch.

Das Vorhaben des Bundesinnenministeriums, Microsoft-Produkte Schritt für Schritt aus der Verwaltung zu verdrängen und durch Software mit bekanntem Quellcode - allen voran Linux - zu ersetzen, geht mittlerweile in seine zweite Phase. Während erste Umstellungen bisher nur zentrale Netzwerkrechner betreffen, soll die Umrüstung jetzt auch auf Arbeitsplatz-Computer ausgeweitet werden, so Bundesinnenminister Otto Schily. Noch wird der Einsatz von Linux an den Arbeitsplätzen aber eher skeptisch gesehen, weshalb das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt gezielt Pilotprojekte in Bundesbehörden unterstützt.

Das BSI lässt darüber hinaus Open Source Komponenten für die signaturgesetzkonforme Verschlüsselung von E-Mail im Pilotprojekt SPHINX entwickeln. Basierend auf internationalen Standards wie S/MIME, X509V3 und PKIX, werden in Behörden E-Mails künftig mit Hilfe des KDEs KMail-Programms digital signiert und sicher ausgetauscht werden können.

Auch einige der weltgrößten Computerkonzerne engagieren sich seit geraumer Zeit für das Betriebssystem Linux. Bisher hat beispielsweise allein der IBM Konzern mehr als eine Milliarde US-Dollar in das freie Betriebssystem investiert.