Open Source ist aus vielen Unternehmen nicht mehr wegzudenken, dennoch halten sich einige hartnäckige Vorurteile über die vermeintliche Unsicherheit quelloffener Lösungen. VNC, führender Entwickler von Open-Source-basierten Unternehmensanwendungen, räumt endgültig damit auf.
Open Source ist eine Erfolgsgeschichte und kommt in unzähligen kleinen wie großen Unternehmen zum Einsatz. Selbst ein großer Software-Konzern wie Microsoft, dessen ehemaliger Chef Steve Ballmer das Linux-Betriebssystem einst mit einem „Krebsgeschwür“ verglich, arbeitet mittlerweile in vielen Open-Source-Projekten mit und nutzt quelloffene Software-Komponenten in seinen Anwendungen und Services. Trotzdem halten sich einige Bedenken hinsichtlich der Sicherheit von Open Source beharrlich – sei es, weil die Zweifler nur unzureichend mit den Entwicklungsprozessen in der Community vertraut sind oder weil Protagonisten, die ihr Geld vornehmlich mit proprietärer Software verdienen, längst überholte Ressentiments pflegen. Dabei ist Open Source sehr sicher und viele Unternehmen entscheiden sich gerade wegen der hohen Sicherheit dafür. VNC listet die am häufigsten anzutreffenden Vorurteile auf und erklärt, warum sie unbegründet sind:
- Schwachstellen sind für jeden einsehbar: Das ist richtig – und bei genauer Betrachtung ein dickes Sicherheitsplus. Nicht nur Cyberkriminelle können den frei verfügbaren Code nach Angriffspunkten durchforsten, sondern alle interessierten Entwickler und Unternehmen. Im Endeffekt wachen dadurch viel mehr Augen über die Qualität des Codes als bei Closed Source, sodass mögliche Schwachstellen schnell entdeckt werden. Zudem geht die Community transparent mit allen Sicherheitslecks um, während bei proprietären Anwendungen oft nicht bekannt ist, welche Lücken in ihnen schlummern.
- Niemand prüft den gesamten Code: Falsch. Unternehmen und Behörden mit hohen Sicherheitsanforderungen führen gezielt Audits durch oder ziehen Spezialisten hinzu, die den Code in umfangreichen Prüfprozessen auf Bugs und Schwachstellen abklopfen. Bei proprietären Anwendungen ist so etwas meist nicht möglich, und wenn, dann in der Regel nur unter Auflagen und mit erheblichen Einschränkungen. Viele Unternehmen, die die Weiterentwicklung der Anwendungen entscheidend vorantreiben, beauftragen regelmäßig unabhängige Prüfer, die den Code auf Herz und Nieren untersuchen. Die Offenheit ist nicht nur Fassade – sie wird tatsächlich und intensiv genutzt.
- Jeder kann Fehler und Hintertüren einbauen: Theoretisch ist das möglich, aber Open-Source-Projekte haben einen sehr kontrollierten Entwicklungsprozess. Alle Änderungen am Code werden dokumentiert und von der Community penibel geprüft und getestet, sodass problematische Programmzeilen identifiziert und aussortiert werden können. Nur Änderungen und Neuerungen, die diese Code Review erfolgreich durchlaufen haben, finden ihren Weg in stabile Programmversionen. Dieses Vorgehen minimiert nicht nur das Risiko von Sicherheitslücken, sondern auch von Stabilitäts- und Kompatibilitätsproblemen. Bei Closed Source ist die Gefahr von Sicherheits- und Datenschutzverletzungen ungleich größer, weil niemand den Code kontrollieren kann. Das zeigen auch die immer wieder auftauchenden Spekulationen um mögliche Hintertüren in nicht offenen Firmwares und Betriebssystemen.
- Niemand kümmert sich um Bugs und Lecks: Open-Source-Projekte sind keine Ansammlung von Hobby-Entwicklern, die unorganisiert zusammenarbeiten. Hinter vielen quelloffenen Anwendungen steht eine große Community engagierter Entwickler und Unternehmen, in der es feste Abläufe und Roadmaps gibt. Die Ressourcen sind oft umfangreicher als bei Anbietern proprietärer Software, sodass Bugs und Fehler häufig viel schneller behoben sind. Zudem pflegt die Community ihre Anwendungen meist deutlich länger: Selbst alte Programmversionen werden noch mehrere Jahre mit Sicherheitsupdates und anderen Verbesserungen versorgt.
- Es gibt keinen professionellen Support: Manche Unternehmen treibt die Sorge um, sie würden für Open-Source-Software keinen professionellen Support erhalten. Allerdings bieten die Firmen, die sich in der Open-Source-Entwicklung engagieren, in der Regel eine höchst professionelle Unterstützung an – das ist ein wichtiger Teil ihres Geschäftsmodells. Zahlreiche Dienstleister haben sich sogar auf den Support von quelloffenen Anwendungen spezialisiert. Sie helfen Unternehmen bei der sicheren Einrichtung und dem sicheren Betrieb der Software, kümmern sich um Probleme und nehmen bei Bedarf individuelle Anpassungen vor, die bei proprietären Programmen meist nicht möglich sind.
„Der entscheidende Vorteil von Open Source in Sicherheitsfragen ist die Transparenz: Nutzer müssen nicht auf die Zusicherungen eines Herstellers vertrauen, dass eine Software bestimmte Sicherheits- und Datenschutzanforderungen erfüllt. Sie können auf die wachen Blicke einer großen Community zählen und jederzeit selbst Prüfungen vornehmen“, betont Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. „Das bedeutet nicht, dass Open Source automatisch sicher ist, doch eine engagierte Community und ein kontrollierter Entwicklungsprozess sorgen für zuverlässige, sichere und vertrauenswürdige Software.“