Open-Source-Lösungen können ein Sicherheitsrisiko darstellen. Diese Einschätzung bekräftigt DATABUND im Zuge der jüngst entdeckten SSH-Sicherheitslücke. Auch die Verbannung großer Software-Hersteller aus der Verwaltung sieht der Verband kritisch.
Ein fast unentdeckt gebliebener Trojaner versetzte die Open-Source-Szene vor kurzem in Aufruhr. Ein Hacker hatte den maliziösen Code in xz-Tools und xz-Bibliotheken auf Linux versteckt. Über SSH-Verbindungen hätten damit Linux-Server weltweit kompromittieren werden können. Ein Microsoft-Entwickler entdeckte die Sicherheitslücke und verhinderte Schlimmeres.
Open-Source-Kontrolle braucht Personal
Der Bundesverband der mittelständischen IT-Dienstleister und Softwarehersteller für den öffentlichen Sektor (DATABUND) sieht seine mehrfachen Warnungen vor Open-Source-Sicherheitsrisiken durch den Vorfall bestätigt. In der Theorie sei Open Source „eine gute Sache“ und funktioniere, so lange Manipulationen entdeckt werden. Andererseits stelle Open Source ein Sicherheitsrisiko dar, weil „jeder mitarbeiten kann und einige Staaten potenziell die größeren Ressourcen für ihre Zwecke aufwenden können“. Als Beispiel führt DATABUND China an, die in der Standardisierung aufgrund der schieren Masse an Personen oftmals die alleinige Steuerung übernähmen. Im Open-Source-Bereich könne diese Strategie genauso funktionieren. Eine Kontrolle der Quellcodes wäre für Nutzende ohne entsprechendes Personal kaum zu schaffen. Hinzu käme, dass Nachlässigkeiten und Fehler im Coding „keine wirtschaftlichen und juristischen Konsequenzen für einen Community-Entwickler“ hätten.
Digitale Souveränität durch Optionen
DATABUND verweist darauf, dass der deutsche Microsoft-Mitarbeiter Andres Freund die Open-Source-Lücke entdeckt hatte. Dass ein Bundesland wie Schleswig-Holstein kürzlich Windows und Microsoft Office durch die Open-Source-Systeme Linux und LibreOffice ersetzt hat, sieht der Branchenverband kritisch. Dies könne durch Open-Source-Malware „zu einem Bumerang für die IT-Sicherheit“ werden. DATAPORT spricht sich für einen offenen Wettbewerb von Lösungen ohne Festlegung auf nur ein Lizenzmodell aus. Digitale Souveränität bedeute, sich alle Optionen offenzuhalten und möglichst mehrgleisig zu fahren.
