Sicherheit von Open-Source-Software
Offenheit als Chance und Risiko
Mehr als zwei Drittel der deutschen Unternehmen setzen Open-Source-Software (OSS) ein, bei den größeren Betrieben ab 2.000 Mitarbeitern sind es sogar 86 Prozent, so eine Umfrage des Branchenverbands Bitkom. Als größten Vorteil nannten die Befragten Kosteneinsparungen, da für viele Open-Source-Produkte keine Lizenzgebühren anfallen. Nach wie vor steht allerdings die Frage im Raum, ob Open-Source-Software auch wirklich sicherer ist als kommerzielle Closed-Source-Angebote.
OSS kann gratis sein, muss aber nicht, bedeutet doch „Open Source“ zunächst einmal nur, dass der Quellcode offen und frei verfügbar ist: Jeder kann ihn einsehen, kopieren, weiterverteilen, nutzen und sogar verändern. Letzteres ist für viele Unternehmen attraktiv, um Eigenentwicklungen kostengünstiger und schneller voranzutreiben. Aber wie steht es um die Sicherheit, wenn Quellen offen liegen? Lädt das nicht zur Manipulation ein? Und wer stellt Updates und Patches zur Verfügung, wenn es keinen verantwortlichen Hersteller gibt?
Grundsätzlich ist jede Software potenziell unsicher – unabhängig davon, ob es sich um OSS oder proprietäre Produkte handelt. Es wird immer nötig sein, sie auf Schwachstellen zu scannen, ihr Verhalten zu beobachten und Sicherheitslücken zu schließen. Tatsächlich macht der offene Quellcode Open-Source-Lösungen nicht stärker angreifbar, sondern sogar ein Stück weit sicherer als proprietäre Software. Denn wenn jeder die Quellen einsehen kann, erschwert dies Angreifern, Schadcode einzuschleusen. In der Open-Source-Community sorgen unzählige Augen für gegenseitige Kontrolle. So fallen Manipulationsversuche auf und lassen sich korrigieren. Dank der Vielzahl beteiligter Entwickler stehen zudem Patches und Updates meist schneller zur Verfügung als bei proprietärer Software. Wird einmal eine Sicherheitslücke bekannt, kann die Entwickler-Community sie sofort schließen. Laut der Bitkom-Umfrage zählt hohe Sicherheit durch zeitnahe Updates zu den wichtigsten Vorteilen von OSS.
Bei proprietärer Software sind Unternehmen dagegen auf einen einzelnen Hersteller angewiesen – in puncto Funktionalität ebenso wie Update- und Patch-Frequenz. Da Anwender den Quellcode nicht einsehen können, wissen sie nicht, was im Hintergrund passiert. Doch natürlich wollen sich die Softwarekonzerne nicht in die Karten schauen lassen. Im Gegensatz dazu kann und will OSS nichts verbergen.
Investitionssicherheit
Sicherer als proprietäre Software sind Open-Source-Lösungen auch in Bezug auf die Unabhängigkeit und Nachhaltigkeit: Da OSS Community-getrieben ist, kann man sie weiterentwickeln – selbst wenn ein einzelner Hersteller Konkurs anmeldet oder seine Geschäftsstrategie ändert. Unternehmen können Open-Source-Produkte zudem so lange und in der Form nutzen, wie es ihnen gefällt. Ist der Quellcode einmal auf einer Plattform wie GitHub veröffentlicht, bleibt er dort frei verfügbar. Selbst wenn sich die Lizenzbestimmungen ändern sollten, ist die zuletzt veröffentlichte Version immer noch als Open Source erhältlich. Das macht Unternehmen unabhängig von den Softwareherstellern. Immer wieder gibt es Diskussionen über die Abhängigkeit von großen, insbesondere amerikanischen Softwaregiganten. Das Bundesministerium des Innern spricht gar davon, dass die digitale Souveränität des Staats auf dem Spiel steht, und rät Behörden daher zu OSS-Alternativen.
- Offenheit als Chance und Risiko
- Risiken kostenloser Open-Source-Software
Lesen Sie mehr zum Thema
