Viel Potenzial – wenig Prüfung? : Software-Qualität, Sicherheit und Open Source (OSS) – Lösung oder Teil des Problems?
Der faktischen Übermacht ausländischer Tech-Giganten setzen viele Stimmen Open-Source-Initiativen entgegen. Unser Autor plädiert in seinem Kommentar für eine differenziertere Sichtweise und warnt davor, in Open-Source-Software (OSS) eine „schlüsselfertige Lösung“ zu sehen.
Die digitale Welt hat sich darauf eingestellt, dass Software fehlerbehaftet ist. Zügiges Patchen scheint wichtiger zu sein, als fehlerfrei zu arbeiten – schnell mit einer neuen Funktion am Markt zu sein, gewinnt gegenüber langwierigen und teuren Testmaßnahmen im Total-Quality-Management (TQM). Viele Akteure im digitalen Raum (Cyber- und Informationsraum, CIR) fühlen sich in einem Vendor-Lock-in gefangen, der viel Geld kostet. Die Hersteller weitverbreiteter Soft- und Hardwarelösungen lassen sich ihre Dominanz und die gefühlte Abhängigkeit von ihren Produkten mittels Lizenz- und Wartungskosten bezahlen. Die Probleme sind offenkundig. Und OpenSource-Software (OSS) scheint viele Teile dieser Probleme zu lösen.
Die Realität ist leider nicht so einfach und es gibt nicht „die eine Antwort“ auf alle Fragen – auch wenn OSS eine Möglichkeit ist. Zuerst zur Frage der Qualität: Qualität hat sehr viel mit einer verlässlichen, eventuell sogar beweisbaren Nachvollziehbarkeit zu tun – dass nämlich eine Sache immer das tut, was sie soll, und nie irgendetwas anderes, was sie nicht soll. Wer aber übernimmt bei OSS tatsächlich und nachvollziehbar die Qualitätssicherung (QS)?
Der zweite Punkt wird bei Standardtestverfahren meist vernachlässigt, weil es viel einfacher ist, die Anforderungsliste abzuarbeiten, als sich mögliche Szenarien auszudenken, in welchen Fällen etwas „außer der Reihe“ passieren könnte. Sprechen wir über die Farbeinstellung einer grafischen Oberfläche, mag es lästig sein, wenn sie den Farbton nicht genau trifft, den ich mir als Unternehmensfarbe gewählt habe – aber daran stirbt niemand. Geht es um die Firewall, die den Zugang zu kritischer Infrastruktur schützt, hängen ganz andere Werte daran. Der durch die MCAS-Software verursachte Absturz zweier Boing 737 MAX mit insgesamt über 300 Toten in einer intensiv regulierten Branche ist nur ein Beispiel für die Realitätsnähe dieser Problematik.
Ein risikobasierter Ansatz zur Qualität ist heute unabdingbar. Hersteller, Reseller sowie ausgelagerte und unabhängig arbeitende Entwickler haben aber keinen Einblick in die Risiken, die mit der Nutzung einer erstellten Lösung verbunden sind – erst recht nicht, wenn sie nur (OSS-) Komponenten liefern. Robert Pirsig stellt in seinem Buch „Zen and the Art of Motorcycle Maintenance“ [1] die These auf, ob nicht Qualität die eigentliche Triebkraft der Menschheit und diese nicht dialektisch sei. Im OSS-Umfeld finden sich viele Menschen mit einem hohen Qualitätsbewusstsein. Die Community wird als eine geopolitisch unabhängige, grundlegend demokratische wahrgenommen – sie genießt ein hohes Vertrauen.
Das BSI hat im März 2022 vor dem Einsatz von Produkten der Firma Kaspersky gewarnt. Das geschah nicht, weil die Software schlecht ist – das BSI hatte über viele Jahre einen engen Austausch mit dem Unternehmen gepflegt. Vielmehr führte die Gefahr zu der Warnung, dass einzelne der vielen tausend Mitarbeiter der Firma in Russland unter Druck gesetzt werden könnten, um Hintertüren oder Schadcode einzubauen. Dies erfolgte nicht zuletzt auf der Basis des Wissens, dass diese Software mit höchsten Privilegien in den IT-Systemen der Kunden läuft.
Eine solche risikobasierte Betrachtung von IT-Systemen legt nahe, auch beim Einsatz von OSS-Produkten eine – meist subjektive – rote Linie zu ziehen. Diese rote Linie könnte zum Beispiel darin liegen, dass Lösungen zur Reduzierung von Risiken im Cyber-Exposure-Management, die mit hohen Privilegien laufen und kommunikationsfähig sind, nicht mit OSS-Produkten oder mit Produkten mit Komponenten aus „kritischen“ Ländern umzusetzen.
Es bleibt anzumerken, dass die Gegner funktionierender demokratischer Staaten schon seit Langem erkannt haben, dass GitHub-Accounts und OSS selbst gute Angriffsziele sind, um über Lieferketten dann mit den eingebrachten Fähigkeiten in die gewünschten Zielsysteme eindringen zu können oder dort Daten auszuleiten.
Interessanterweise haben alle Staaten für die personelle Sicherheit von Menschen, die an derartigen Vertrauensketten beteiligt sind, eigene Maßnahmen, um die Vertrauenswürdigkeit von Personal oder ganzen Firmen zu überprüfen. In Deutschland ist das der Geheimschutz – nicht für alle zugänglich (vgl. auch Anregungen aus [2]). Alle Unternehmen haben jedoch Zugriff auf die zu den Produkten eines Herstellers bekannt gewordenen Schwachstellen und deren Kritikalität. Dazu bietet etwa der Warn- und Informationsdienst des CERT-Bund (https://wid.cert-bund.de/) einen Zugriff auf SecurityAdvisories und Common-Vulnerability-and-Exposure- (CVE)-Verweise.
Einschränkungen zur Sinnhaftigkeit, OSS als Antwort auf die Problematik des Vendor-Lock-ins zu sehen, hat der Autor bereits erörtert (vgl. Abb. 1). Darüber hinaus sollte man auch die Frage nach einem Know-how-Lock-in aufwerfen: Je digitalisierter die Welt ist und je abhängiger die Gesellschaft von der korrekten Funktionsfähigkeit der digitalen Infrastrukturen ist, die allzu häufig Dritte betreiben, desto wichtiger wird das Know-how – denn damit lässt sich beurteilen, welche Risiken sich ergeben.
Abbildung 1: Open-Source-Software (OSS) hat spezifische Stärken, aber auch spezielle Risiken. Jeder kann offenen Code einsehen. Wer aber übernimmt die Qualitätskontrolle – gerade auch von OSS-Komponenten in der eigenen Infrastruktur?
Wenn wir also als Gesellschaft OSS als Ausweg aus einer allzu engen Umarmung von Tech-Giganten sehen, dann müssen wir in dieser Gesellschaft einige Fähigkeiten verlässlich selbst erbringen können – also mit perfektem Know-how ausgestattet und den mit der Gesellschaft übereinstimmenden Werten. Qualitätsanforderungen im Sinne von Hintertür und Schadcodefreiheit während des gesamten Lebenslaufs (auch im Patch-Management) wurden schon angesprochen – Innovation, Steuerung von Bedarf, Ergonomie und Inklusion sind weitere Aspekte.
Schutz vor Fake News, Zugang zu geprüftem, qualifiziertem Wissen und dadurch die Möglichkeit, eine Medienkompetenz für alle herzustellen, zeigen, dass das Wissen, welches in der Gesellschaft gebraucht wird, je nach Person deutlich unterschiedlich aussieht. In der Politik, der Staatsanwaltschaft, der Strafverfolgung, der Firmenleitung, der Ausbildung – auf allen Stufen ist ein Bedarf an Wissen gegeben, aber überall verschieden.
Für eine resiliente Gesellschaft genügt es nicht, eine Website oder Telefonnummer bereitzustellen, die bei Bedarf anzurufen ist. Die gesamtgesellschaftliche Aufgabe löst sich nur durch Kooperation aller Know-how-Träger („Allianz der Fähigen“), wie es bereits in der nationalen Sicherheitspolitik skizziert wurde. Es fehlt jedoch am Handeln, das auf Erkenntnis basiert. Auch OSS ist nur Teil einer Lösung. Das Zusammensetzen des ganzen Puzzles bleibt die Herausforderung – mit den richtigen Anteilen an OSS.
Ramon Mörl ist Geschäftsführer der itWatch GmbH
Literatur
[1] Robert M. Pirsig, Zen und die Kunst, ein Motorrad zu warten, Roman, Fischer, April 1978, ISBN 3-596-22020-3
[2] Stephen Fedtke, EPIS 3.0: Die neue Resistance, Resilienzprüfung privilegierter IT-Mitarbeiter in Zeiten von NIS-2 und DORA, 2024#4, S. 59, www.kes-informationssicherheit.de/print/titelthemadie-zeitschrift-fuer-informations-sicherheit/epis-3-0- die-neue-resistance/ (<kes>+)