Open Source Soft­ware:
Sicher­heit durch Trans­pa­renz

Im Gegen­satz zu pro­prie­tä­rer Soft­ware ist bei Open Source Soft­ware der Quell­text öffent­lich ein­seh­bar.

Unab­hän­gi­ge Pro­gram­mie­rer welt­weit kön­nen den Quell­text prü­fen und wei­ter­ent­wi­ckeln.

Der Sicher­heits­ge­winn besteht dar­in, dass Nut­zer und Ent­wick­ler der Soft­ware (die Com­mu­ni­ty) aus eige­nem Inter­es­se Sicher­heits­lü­cken suchen und schnellst­mög­lich schlie­ßen (Pro­gram­mier­kennt­nis­se vor­aus­ge­setzt).

Dadurch wer­den i.d.R. vie­le Sicher­heits­lü­cken schon gefun­den und geschlos­sen, bevor sie tat­säch­lich aus­ge­nutzt wer­den (kön­nen).

Auch ist es für Soft­ware­ent­wick­ler prak­tisch unmög­lich, unbe­merkt Back­doors ein­zu­bau­en.

Nut­zer von Open Source Soft­ware müs­sen den Ent­wick­lern nicht „blind ver­trau­en”, son­dern kön­nen den Quell­text selbst über­prü­fen (las­sen).

Dies ist natür­lich auch den Ent­wick­lern bekannt, bei schlech­tem Quell­text lässt die ent­spre­chen­de Kri­tik oft nicht lan­ge auf sich war­ten.

Im Ergeb­nis ent­steht Soft­ware, die gera­de auch in sicher­heits­re­le­van­ten Berei­chen ein­ge­setzt wird.

Bei­spiels­wei­se wer­den vie­le Ser­ver mit Open Source Soft­ware betrie­ben (Linux, Apa­che, MyS­QL usw.).

Aber auch Anwen­der nut­zen in sicher­heits­re­le­van­ten Berei­chen Open Source Soft­ware, bei­spiels­wei­se Linux, Mozil­la Fire­fox und Android.

Pro­prie­tä­re Soft­ware:
secu­ri­ty through obscu­ri­ty

Um Sicher­heits­lü­cken zu schlie­ßen, müs­sen Anbie­ter i.d.R. kos­ten­los Sicher­heits-Updates (Patches) bereit­stel­len.

Dem­ge­gen­über kann das Ent­wi­ckeln die­ser Sicher­heits-Updates (Patches) mit erheb­li­chen Kos­ten ver­bun­den sein.

Ver­mut­lich des­halb kommt es immer wie­der vor, dass Sicher­heits­lü­cken von Anbie­tern pro­prie­tä­rer Soft­ware „so lan­ge wie mög­lich” ver­heim­licht wer­den und unge­pa­ched blei­ben.

Erst wenn Sicher­heits­lü­cken in grö­ße­rem Umfang aus­ge­nutzt wer­den oder dies unmit­tel­bar zu erwar­ten ist, besteht eine Gefahr für die Repu­ta­ti­on des Anbie­ters und ein gewis­ser Hand­lungs­druck ent­steht.

Auch auf­grund die­ses Inter­es­sen­kon­flikts kann es sinn­voll sein, pro­prie­tä­re Betriebs­sys­te­me durch einen Viren­scan­ner eines Dritt­an­bie­ters zu ergän­zen.

Im All­ge­mei­nen kann davon aus­ge­gan­gen wer­den, dass die Geheim­hal­tung des Quell­tex­tes zu kei­nem Sicher­heits­ge­winn führt.

Vgl. dazu:
„secu­ri­ty through obscu­ri­ty” (Wiki­pe­dia)

 

Viren­scan­ner und Sicher­heits-Updates