Sicher mit Freier Software
7. Newsletter: Oktober 2006
Wer will sich nicht in Sicherheit wähnen?
Es gibt sie zwar: Menschen, die ohne Seil und Haken in senkrechten Felswänden unterwegs sind, ohne Helm über Skipisten flitzen oder ohne Sicherheitsgurt über die Autobahn rasen. Im Allgemeinen ist aber das Bedürfnis nach Sicherheit bei den meisten Menschen sehr ausgeprägt. Wer geht schon gerne unvertretbare Risiken ein oder begibt sich ohne zu Überlegen in Gefahr. Sicherheit spielt auch in abstrakten Angelegenheiten wie etwa bei einer Kapitalanlage eine zentrale Rolle. In welchem Zusammenhang man auch immer von Sicherheit spricht: Es handelt sich stets um einen Annäherungsversuch. Wer kann schon 100%ige Sicherheit garantieren und Risiken völlig auszuschließen? Wie sicher wir uns fühlen können bzw. welches Risiko gerade noch vertretbar ist, hängt von vielen Faktoren ab und wird zudem von jedem subjektiv verschieden bewertet. Auch in der Welt der Bits und Bytes spielt Sicherheit eine ganz wichtige Rolle. Dabei gilt der Grundsatz: Ein IT-System kann dann als sicher bezeichnet werden, wenn der Aufwand für das Eindringen in das System höher ist als der daraus resultierende Nutzen für den Angreifer. Deshalb ist es wichtig, die Hürden für einen erfolgreichen Einbruch möglichst hoch zu setzen und damit das Risiko zu reduzieren.
Man kann sich nie sicher genug fühlen!
In den Kindertagen des Computers verstand man unter Sicherheit zunächst, dass die Hardware einwandfrei funktioniert und es zu keinem Ausfall beispielsweise von Bandlaufwerken oder anderen mechanischen Bauteilen kommt. Mit der Zeit fiel das Augenmerk auch auf die Software: Sind die Programme sicher installiert? Stürzt wohl das Betriebssystem nicht ab? Ist genügend Speicherplatz vorhanden? Mit der Entwicklung neuer Speichermedien und der Einführung des Internets entstanden ganz neue Bedrohungsszenarien für die IT-Sicherheit. Viren, Trojaner, Würmer, Spoofing, Phishing, Pharming oder Vishing: Sämtliches Ungetier und verschiedene Angriffstechniken machen seitdem die Computer unsicher und sorgen dafür, das jeder PC-Nutzer sich unweigerlich mit dem Thema „IT-Sicherheit“ auseinandersetzen muss. Dabei geht es heute schon längst nicht mehr nur um die Sicherheit von Hard- oder Software. Immer öfters geht es um den Schutz von Daten, um die Sicherstellung von Vertraulichkeit oder Anonymität, um sichere Datenübertragung sowie um die Verschlüsselung oder den Nachweis der Echtheit von Daten. Der Begriff der „Sicherheit“ bleibt also in der IT-Welt wandelbar und Spiegel der jeweiligen technologischen Möglichkeiten.
Ein Mehr an Sicherheit mit Freier Software
Es gibt viele gute Gründe, warum Freie Software ein Mehr an Sicherheit anbieten kann. Nicht unerheblich ist dabei die Frage, wie und unter welchen Voraussetzungen Software entsteht. Zu Freier Software kommt es meist dadurch, weil ein Entwickler ein Programm benötigt, um ein Problem zu lösen oder einfach, weil er Spass am Programmieren hat. Weil Freie Software also fast in allen Fällen nach technischen, nicht nach kommerziellen Notwendigkeiten programmiert wird, gibt es auch keine Deadlines, keine finanziellen Grenzen oder Managementvorgaben. Frei nach dem Motto "Es ist fertig, wenn es fertig ist" kann diese Software ohne Herstellungsdruck reifen und darauf achten, dass bei Veröffentlichung weitgehend alle Sicherheitsmängel aus dem Weg geräumt sind. Der entscheidende Grund aber, warum Freie Software gegenüber proprietärer Software ein Mehr an Sicherheit anbieten kann, liegt aber ganz wo anders. Den Unterschied macht der Umstand aus, dass der Quellcode bei Freier Software offen, für alle zugänglich und auch von allen veränderbar ist.
Kein Warten auf sichere Programmversionen
Weil alle Welt die Quellcodes Freier Software einsehen kann, müssen Programmierer damit rechnen, dass ein schlampiger, fehlerhafter Code wohl nicht akzeptiert werden wird. Noch wesentlicher ist aber, dass die Offenheit und Veränderlichkeit des Quellcodes dazu führt, dass Schwachstellen, Fehler oder Sicherheitsmängel, aber auch mögliche Attacken von Außen schnell entdeckt, behoben oder abgewehrt werden können. Natürlich braucht es dazu entsprechendes Fachwissen. Dieses stellen weltweit ehrenamtlich Tausende von Programmierer oder auch Hacker (also Personen, die Fehler in Programmen auffinden und nicht solche, die Sicherheitslücken ausnutzen) zur Verfügung. Dazu muss man wissen, dass das Ansehen von Hackern in der Community steigt, je mehr Fehler sie finden. Der Vorteil Freier Software liegt also auf der Hand: Während Nutzer proprietärer Software stets mit der Gefahr leben müssen, dass ein böswilliger Computercracker eine Lücke entdeckt und solange ausnutzen kann, bis der Hersteller mit einer „sichereren“ Programmversion reagiert, können sich Nutzer Freier Software sicher wähnen, dass im Problemfalle innerhalb Stunden irgendjemand weltweit das Problem entdeckt und behebt. Und natürlich wird dann auch ein sicheres und freies Update via Internet zur Verfügung gestellt.
CoCOS-TIPP:
Security projects auf Sourceforge.net