Heartbleed

Ist Open Source Software unsicherer als kommerzielle Software?

Seit vor ein paar Jahren die ersten Sicherheitslücken in Microsoft Windows bekannt wurden, vertraten viele Experten die Ansicht, dass Open Source Software (kurz OSS) – damals ging es primär um Linux – sicherer als kommerzielle Software (insbesondere Windows) sei. Die Begründung war ganz einfach: bei OSS kann jeder den Quelltext einsehen und so fallen Programmierfehler viel schneller auf und können auch entsprechend schnell behoben werden. Quasi eine Crowd-basierte permanente Qualitätskontrolle. Als Beweis für diese These wurde immer wieder angeführt, dass es unter Linux quasi keine Viren oder Trojaner gäbe.

Ich habe schon damals diese allgemeine Einschätzung zur Sicherheit von OSS nicht geteilt. Wenn jeder Zugriff auf den Quellcode hat, dann können Sicherheitslücken (zumindest in der Theorie) wirklich schneller entdeckt werden. Aber nicht jeder, der eine solche Lücke entdeckt, ist auch an der Behebung interessiert. Es gibt genügend Personen (oder Organisationen), die diese Sicherheitslücken lieber für ihre (illegalen) Zwecke ausnutzen wollen. Auch das Einschleusen von Sicherheitslücken oder der Einbau von Backdoors ist bei OSS einfacher möglich, wenn Codeänderungen nicht von weiteren Entwicklern überprüft werden.

Weiterlesen …