Durch den Einsatz von Freier Software in Form von LiMux kann die Stadtverwaltung nicht nur Geld sparen, sondern es besteht auch die Möglichkeit für die Stadt, die Programme auf Sicherheitslücken oder Hintertüren zu überprüfen.
Leider ist ein Irrglaube bei Open-Source-Software, dass die Software alleine durch die Offenlegung des Quellcodes von vielen Freiwilligen überprüft wird.
In der Realität ist es entweder so, dass die Programmierer bei großen Firmen angestellt sind, weil die Firmen Interesse an einer Weiterentwicklung der Software haben, oder aber es handelt sich um eine kleine Gruppe von Programmierern, die die Software in ihrer Freizeit entwickeln.
Letzteres kann durchaus zum Problem werden, wenn andere Software-Entwickler darauf vertrauen, dass das Programm schon richtig überprüft wurde. Ein Extrembeispiel dafür ist der sogenannte Heartbleed-Bug in der Software-Komponente OpenSSL durch den bis zu 2/3 der Internetserver und im Internet surfenden Rechner und Smartphones verwundbar waren. Es handelt sich also um kritische Infrastruktur im eigentlichen Sinne.
Die Software-Komponente selbst wurde nur von wenigen Programmierern gepflegt, niemand von den Verwendern hat sich die Mühe gemacht, den Quellcode auf Fehler zu überprüfen, zumal es sehr schwer ist, sicherheitskritische Fehler zu finden.
Eine solche Überprüfung ist sehr aufwändig, weil zum einen jede Zeile des Programmcodes überprüft werden muss, zum anderen aber auch besonders viel Erfahrung im Umgang mit Software-Sicherheit notwendig ist, es sich also um eine Aufgabe für Spezialisten handelt.
Als Gesellschaft muss man sich die Frage stellen, ob man bei kritischer Infrastruktur weiterhin auf das Engagement von Freiwilligen oder großen Firmen wie Google oder Red Hat setzen oder aber selbst Verantwortung übernehmen möchte.
Ein mögliches Engagement besteht z.B. darin, dass sich die Stadt München an der Entwicklung von Software-Komponenten, die sie für die Verwaltung benötigt, mit finanziellen oder personellen Mitteln beteiligt.
Natürlich kann eine Stadt nicht alleine sämtliche Software auf Sicherheitsmängel prüfen oder diese Prüfung bezahlen. Dies wäre eigentlich die Aufgabe einer Bundesregierung, die in der digitalen Agenda sich auch um Internet-Sicherheit kümmern möchte.
Wenn dieses Engagement ehrlich gemeint sein soll, darf nicht nur Geld für die Überwachung des Internets zur Verfügung gestellt werden. Gerade auf die Sicherheit von Software sollte dabei ein Augenmerk liegen.
Bei proprietärer Software, also Software, deren Quellcode nicht offen gelegt ist, ist es nicht möglich, die Sicherheit zu überprüfen. Selbst wenn der Hersteller anderen diese Überprüfung durchführen lässt, kann man nicht sicherstellen, dass die ausgelieferte Software auch aus diesem Quellcode kompiliert wurde.
Deshalb kann von staatlicher Seite nur eine Sicherheitsüberprüfung von Freier Software vorgenommen werden, da nur hier garantiert werden kann, dass auch keine zusätzlichen Schwachstellen oder Überwachungsmöglichkeiten eingebaut werden kann. Damit könnte die Bundesregierung wirklich etwas für die Sicherheit der Bürger und aller Internetnutzer tun.
Thomas Mayer, Kreisvorsitzender und Software-Entwickler.