# taz.de -- „Heartbleed“ und Open-Source-Software: Sicherheit kostet
> Nach dem Sicherheitsdesaster „Heartbleed“ stellt sich die
> Finanzierungsfrage bei Open-Source-Projekten. Doch Geld kann neue
> Probleme schaffen.
IMG Bild: Passwörter ändern: „Heartbleed“ brachte viele Internet-Nutzer in Zugzwang
Nur 2.000 US-Dollar beträgt die Summe, die die Stiftung OpenSSL jährlich an
Spendeneinnahmen verzeichnet. Für eine Software, die jeder nutzen kann. Die
so weit verbreitet ist, dass infolge der Sicherheitslücke „Heartbleed“
(Herzbluten) zwei Jahre lang ein großer Teil der verschlüsselten
Internetverbindungen gar nicht so sicher verschlüsselt war. Und deren
Macher sich nun dafür rechtfertigen müssen, dass niemand von ihnen den
Fehler gefunden hat, sondern es einen Mitarbeiter des Google Security Teams
dafür brauchte.
Dabei gilt Open-Source-Software – solche, bei der der Quellcode offenliegt
und von jedem bearbeitet und weiterverbreitet werden kann – als
verhältnismäßig gut geschützt gegen Angriffe. „Freie Software hat eine Art
Selbstheilungsmechanismus eingebaut, weil viel mehr Augen draufschauen als
bei nichtfreier Software“, sagt Erik Albers von der Free Software
Foundation Europe. Denn im Gegensatz zu Programmen etwa von Microsoft oder
Apple, deren Code unter Verschluss bleibt, kann bei freier Software jeder
in den Quellcode schauen. Jeder Kundige kann überprüfen, ob alles mit
rechten Dingen zugeht. Ob es zum Beispiel keine Hintertürchen gibt, die
Daten an Geheimdienste weiterleiten.
Immerhin: 9.000 US-Dollar nahm die Stiftung OpenSSL allein in der zweiten
Aprilwoche ein, nach dem Heartbleed-Desaster. Größtenteils Kleinspenden von
Privatpersonen, hier mal fünf Dollar, da mal zehn, aus der ganzen Welt.
Jetzt, auf einmal. Die Frage, die angesichts der Zahlen im Raum steht:
Braucht freie Software andere, bessere Arten der Finanzierung?
Ja, meint Steve Marquess von der OpenSSL-Stiftung. Er klagt in einem
Blogbeitrag über den Mangel an finanzieller Unterstützung und schreibt:
„Ihr wisst, wer gemeint ist.“ Gemeint sind etwa große Unternehmen, die
OpenSSL kostenlos nutzen und sich damit die Ausgaben für kostenpflichtige
Lösungen sparen. Aber trotzdem nicht spenden.
## Prekäre Finanzierung
Auch Johannes Stahl, Geschäftsführer von Werk21, sagt: „Die meisten
Open-Source-Projekte sind eher prekär finanziert.“ Stahl kennt den Markt –
sein Unternehmen verdient Geld damit, freie Software kommerziell zu
verwerten. Das funktioniert beispielsweise so: Ein Kunde wünscht sich zu
einem Open-Source-Programm eine neue Funktion. Werk21 programmiert die –
und stellt sie gleichzeitig wieder als freie Software zur Verfügung. So
kommt die neue Funktion nicht nur dem zahlenden Kunden zugute, sondern auch
allen anderen Nutzern.
Dieses Modell funktioniere allerdings nicht bei jeder Software, sagt Stahl.
Wo es eine starke Konkurrenz gebe, wo sehr spezialisierte Programmierer wie
Kryptografen gebraucht würden, wo sich kaum zusätzliche Funktionen zum
Programm verkaufen ließen – überall da müsse das Geld anderswoher kommen.
## Also doch Spenden?
Albers findet: „Wenn man freie Software verwendet, ist es ist nur fair,
auch etwas zurückzugeben.“ Trotzdem glaubt er nicht, dass mehr Geld freie
Software besser und Sicherheitslücken unwahrscheinlicher machen würde.
„Geld kann auch schaden, denn wer in Software Geld reinsteckt, will in der
Regel wieder Geld herauskriegen.“ Dadurch entstehe Druck und das erhöhe die
Fehleranfälligkeit. Das sieht Stahl anders. „Manchmal ist Druck gar nicht
schlecht.“ Schließlich sei es besser, manche Ergebnisse schon morgen zu
haben und nicht erst in fünf Jahren. Etwa ein Update, das eine
Sicherheitslücke schließt.
Dazu kommt: Auch eine gute Finanzierung, die Programmierern Freiräume lässt
und keinen Druck aufbaut, kann Probleme schaffen – ökonomische wie ideelle.
Mozilla zum Beispiel, bekannt für seinen Browser Firefox. Mozilla erhält
einen guten Teil seines Geldes von Google. Google mischt aber gerade mit
seinem eigenen Browser Chrome den Markt auf. In Nord- und Südamerika, in
weiten Teilen Asiens und Europas ist Chrome bereits die Nummer eins. Wird
Google Mozilla noch weiterfinanzieren, falls Firefox in die
Bedeutungslosigkeit abrutscht? Und was passiert mit Mozilla, wenn der
größte Geldgeber abspringt?
## Spenden und Abhängigkeiten
„Mozilla hat tatsächlich eine gewisse Abhängigkeit von Google aufgebaut“,
sagt Albers. Ein Dilemma zwischen prekärer Finanzierung durch Spenden und
Abhängigkeit von großen Geldgebern aus der Wirtschaft. Aus der Koalition
kommt da die Idee, das Bundesamt für Sicherheit in der Informationstechnik
mit Prüfaufträgen zu betrauen. Stahl schlägt dagegen einen staatlichen Topf
vor, bei dem Open-Source-Projekte selbst Unterstützung beantragen können.
Es sei nur wichtig, sicherzustellen, dass kein Geld daraus an große
Konzerne gehe. Die könnten ihre Open-Source-Vorhaben schließlich auch
selbst finanzieren.
Peter Ganten, Vorstandsvorsitzender der Open Source Business Alliance,
findet, dass mehr Geld allein sowieso nicht reicht. Natürlich gebe es die
völlig unterfinanzierten Projekte, sagt er. Aber auch die seien nicht
anfälliger für Sicherheitslücken als nichtfreie Software.
Das Problem, sagt Ganten, sei ein Denkfehler. „Der Betreiber, der mit der
Software arbeitet, hat die Pflicht, für die Sicherheit zu sorgen.“ Also:
Nicht die kleine Softwareklitsche, die ihr Produkt unter freier Lizenz in
die Welt stellt, müsse allein die Verantwortung tragen, sondern die Bank,
die es auf ihre Server spielt und ihre Kunden damit Geschäfte abwickeln
lässt. Und hier komme wieder der Staat als Geldgeber ins Spiel: Der
profitiere ja auch von freier Software und sei daher in der Pflicht, sich
an der Überprüfung zu beteiligen. Anders als bei nichtfreier Software ist
das schließlich möglich.
18 Apr 2014
## AUTOREN
DIR Svenja Bergt
## TAGS
DIR Finanzen
DIR Open Source
DIR Sicherheitslücken
DIR Heartbleed
DIR Big Data
DIR Hacker
DIR Microsoft
DIR Heartbleed
DIR Heartbleed
DIR Heartbleed
DIR Heartbleed
DIR Heartbleed
## ARTIKEL ZUM THEMA
DIR Kommentar Datenschutz Unternehmen: Vertrauen ist schlecht
Unternehmen werben gerne mit Vertrauen, das man in sie investieren könne.
Doch gerade beim Datenverkehr gilt: Sicherheit ist besser.
DIR „Shellshock“-Lücke bei Apple und Linux: Die erste Angriffswelle läuft
Nach dem Bekanntwerden einer 20 Jahre alten Sicherheitslücke wird diese
schon ausgenutzt. Panik privater Nutzer ist unangebracht.
DIR Sicherheitslücke bei Internet Explorer: US-Regierung warnt vor Microsoft
Über die Hälfte aller PC-Nutzer browst mit dem Internet Explorer. Sie
werden jetzt vom Heimatschutzministerium vor einer schweren
Sicherheitslücke gewarnt.
DIR Datenklau durch „Heartbleed“: Polizei nimmt Kanadier fest
Die kanadischen Behörden haben einen 19-Jährigen abgeführt. Er soll die
Sicherheitslücke ausgenutzt haben, um an Steuernummern zu kommen.
DIR „Heartbleed“ und Kontrollverlust: Ich hasse Edward Snowden
Jedes neue Sicherheitsleck, ob von der NSA gesteuert oder nur ein
unschuldiger Bug, zeigt dem User allein eins: Hilflosigkeit gegenüber der
Technik.
DIR Reaktionen auf „Heartbleed“: Ein ziemlich trivialer Fehler
Die Sicherheitslücke „Heartbleed“ betrifft so gut wie alle, die das
Internet nutzten. Kein Wunder also, dass im Netz ausführlich diskutiert
wird.
DIR Sicherheitslücke „Heartbleed“: Eine Backdoor ist keine Backdoor?
Nach dem Fehler in der Verschlüsselungssoftware OpenSSL spekulieren
Experten, ob bewusst eine Hintertür geschaffen wurde. Etwa für
Geheimdienste.
DIR Sicherheitslücke im Netz: „Heartbleed“ geht alle an
Eine Sicherheitslücke bei der Verschlüsselungstechnik OpenSSL trifft eine
Vielzahl von Angeboten im Internet. Nutzern hilft nur ein Passwort-Wechsel.