„Heartbleed“ und Open-Source-Software: Sicherheit kostet

Nach dem Sicherheitsdesaster „Heartbleed“ stellt sich die Finanzierungsfrage bei Open-Source-Projekten. Doch Geld kann neue Probleme schaffen.

Passwörter ändern: „Heartbleed“ brachte viele Internet-Nutzer in Zugzwang. Bild: dpa

Nur 2.000 US-Dollar beträgt die Summe, die die Stiftung OpenSSL jährlich an Spendeneinnahmen verzeichnet. Für eine Software, die jeder nutzen kann. Die so weit verbreitet ist, dass infolge der Sicherheitslücke „Heartbleed“ (Herzbluten) zwei Jahre lang ein großer Teil der verschlüsselten Internetverbindungen gar nicht so sicher verschlüsselt war. Und deren Macher sich nun dafür rechtfertigen müssen, dass niemand von ihnen den Fehler gefunden hat, sondern es einen Mitarbeiter des Google Security Teams dafür brauchte.

Dabei gilt Open-Source-Software – solche, bei der der Quellcode offenliegt und von jedem bearbeitet und weiterverbreitet werden kann – als verhältnismäßig gut geschützt gegen Angriffe. „Freie Software hat eine Art Selbstheilungsmechanismus eingebaut, weil viel mehr Augen draufschauen als bei nichtfreier Software“, sagt Erik Albers von der Free Software Foundation Europe. Denn im Gegensatz zu Programmen etwa von Microsoft oder Apple, deren Code unter Verschluss bleibt, kann bei freier Software jeder in den Quellcode schauen. Jeder Kundige kann überprüfen, ob alles mit rechten Dingen zugeht. Ob es zum Beispiel keine Hintertürchen gibt, die Daten an Geheimdienste weiterleiten.

Immerhin: 9.000 US-Dollar nahm die Stiftung OpenSSL allein in der zweiten Aprilwoche ein, nach dem Heartbleed-Desaster. Größtenteils Kleinspenden von Privatpersonen, hier mal fünf Dollar, da mal zehn, aus der ganzen Welt. Jetzt, auf einmal. Die Frage, die angesichts der Zahlen im Raum steht: Braucht freie Software andere, bessere Arten der Finanzierung?

Ja, meint Steve Marquess von der OpenSSL-Stiftung. Er klagt in einem Blogbeitrag über den Mangel an finanzieller Unterstützung und schreibt: „Ihr wisst, wer gemeint ist.“ Gemeint sind etwa große Unternehmen, die OpenSSL kostenlos nutzen und sich damit die Ausgaben für kostenpflichtige Lösungen sparen. Aber trotzdem nicht spenden.

Prekäre Finanzierung

Auch Johannes Stahl, Geschäftsführer von Werk21, sagt: „Die meisten Open-Source-Projekte sind eher prekär finanziert.“ Stahl kennt den Markt – sein Unternehmen verdient Geld damit, freie Software kommerziell zu verwerten. Das funktioniert beispielsweise so: Ein Kunde wünscht sich zu einem Open-Source-Programm eine neue Funktion. Werk21 programmiert die – und stellt sie gleichzeitig wieder als freie Software zur Verfügung. So kommt die neue Funktion nicht nur dem zahlenden Kunden zugute, sondern auch allen anderen Nutzern.

Dieses Modell funktioniere allerdings nicht bei jeder Software, sagt Stahl. Wo es eine starke Konkurrenz gebe, wo sehr spezialisierte Programmierer wie Kryptografen gebraucht würden, wo sich kaum zusätzliche Funktionen zum Programm verkaufen ließen – überall da müsse das Geld anderswoher kommen.

Also doch Spenden?

Albers findet: „Wenn man freie Software verwendet, ist es ist nur fair, auch etwas zurückzugeben.“ Trotzdem glaubt er nicht, dass mehr Geld freie Software besser und Sicherheitslücken unwahrscheinlicher machen würde. „Geld kann auch schaden, denn wer in Software Geld reinsteckt, will in der Regel wieder Geld herauskriegen.“ Dadurch entstehe Druck und das erhöhe die Fehleranfälligkeit. Das sieht Stahl anders. „Manchmal ist Druck gar nicht schlecht.“ Schließlich sei es besser, manche Ergebnisse schon morgen zu haben und nicht erst in fünf Jahren. Etwa ein Update, das eine Sicherheitslücke schließt.

Dazu kommt: Auch eine gute Finanzierung, die Programmierern Freiräume lässt und keinen Druck aufbaut, kann Probleme schaffen – ökonomische wie ideelle. Mozilla zum Beispiel, bekannt für seinen Browser Firefox. Mozilla erhält einen guten Teil seines Geldes von Google. Google mischt aber gerade mit seinem eigenen Browser Chrome den Markt auf. In Nord- und Südamerika, in weiten Teilen Asiens und Europas ist Chrome bereits die Nummer eins. Wird Google Mozilla noch weiterfinanzieren, falls Firefox in die Bedeutungslosigkeit abrutscht? Und was passiert mit Mozilla, wenn der größte Geldgeber abspringt?

Spenden und Abhängigkeiten

„Mozilla hat tatsächlich eine gewisse Abhängigkeit von Google aufgebaut“, sagt Albers. Ein Dilemma zwischen prekärer Finanzierung durch Spenden und Abhängigkeit von großen Geldgebern aus der Wirtschaft. Aus der Koalition kommt da die Idee, das Bundesamt für Sicherheit in der Informationstechnik mit Prüfaufträgen zu betrauen. Stahl schlägt dagegen einen staatlichen Topf vor, bei dem Open-Source-Projekte selbst Unterstützung beantragen können. Es sei nur wichtig, sicherzustellen, dass kein Geld daraus an große Konzerne gehe. Die könnten ihre Open-Source-Vorhaben schließlich auch selbst finanzieren.

Peter Ganten, Vorstandsvorsitzender der Open Source Business Alliance, findet, dass mehr Geld allein sowieso nicht reicht. Natürlich gebe es die völlig unterfinanzierten Projekte, sagt er. Aber auch die seien nicht anfälliger für Sicherheitslücken als nichtfreie Software.

Das Problem, sagt Ganten, sei ein Denkfehler. „Der Betreiber, der mit der Software arbeitet, hat die Pflicht, für die Sicherheit zu sorgen.“ Also: Nicht die kleine Softwareklitsche, die ihr Produkt unter freier Lizenz in die Welt stellt, müsse allein die Verantwortung tragen, sondern die Bank, die es auf ihre Server spielt und ihre Kunden damit Geschäfte abwickeln lässt. Und hier komme wieder der Staat als Geldgeber ins Spiel: Der profitiere ja auch von freier Software und sei daher in der Pflicht, sich an der Überprüfung zu beteiligen. Anders als bei nichtfreier Software ist das schließlich möglich.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.