Kommentar: Open Source ist gut für die Sicherheit – Oder doch nicht?

Symbolbild "Sicherheit"

Der Browser ist zumindest mittelfristig der zentrale Baustein für ein ausgefeiltes Konzept zum Schutz von Sicherheit und Privatsphäre. Im Internet gibt es zig Anleitungen wie man Browser absichert und welcher Browser zu empfehlen ist. Manches davon ist Marketing, aber vieles auch interessant und lesenswert. Manchmal zeigen die Begründungen aber auch argumentative Schwachstellen und es gibt Vorannahmen, die nicht hinterfragt werden. Darunter gerne: Open Source ist gut!

So konnte man kürzlich in einem sehr guten Blog zu dem Thema den ersten Teil einer Artikelserie zur Absicherung von Firefox lesen. Bereits der erste Teil ist lesenswert und die weiteren Teile werden hoffentlich auch interessant. Der Autor hat mit dem Zwischenfazit, dass sich unter all den Browsern da draußen, vor allem Firefox als Grundlage eignet, sicherlich nicht unrecht. Insbesondere die Bemerkung über die – angeblich so sicherheitsorientierten – Forks ist gut und wichtig.

Die Grundannahme lautet jedoch: Einige Browser werden von vornherein ausgeschlossen, weil sie nicht quelloffen sind. Firefox ist hingegen quelloffen und daher das geringere Übel. Eine einsehbarer Quellcode ist in dieser Argumentation ein grundlegender Baustein für Sicherheit.

Quelloffen bedeutet: Der Quellcode ist frei (also offen) von jedem einsehbar. Nach meiner Auffassung ist das eine »zwingende« Voraussetzung, denn Quelloffenheit bedeutet Transparenz – ein wichtiges Element der IT-Sicherheit, denn sie ist eng mit Vertrauen verknüpft. Proprietärer Software muss man vertrauen, dass sie sicher ist und keine Backdoors integriert hat. Bei quelloffener Software (Transparenz) kann dies (und sollte auch regelmäßig) von vielen Augen geprüft werden.

Zitat: Kuketz-Blog – Firefox: Ein Browser für Datenschutzbewusste – Firefox Kompendium Teil1

Weiter unten heißt es jedoch im Abschnitt zu Chrome – und ausdrücklich auch erwähnt – Chromium.

Chrome / Chromium: Chrome ist ein Browser von Google. Allein das genügt eigentlich schon, um einen großen Bogen um den Browser zu machen. […] Erst Chromium ist vollständig quelloffen und unterscheidet sich von Chrome.

Zitat: Kuketz-Blog – Firefox: Ein Browser für Datenschutzbewusste – Firefox Kompendium Teil1

Hier muss man sich doch fragen: Ist Chromium denn nicht quelloffen genug? Laut Homepage ist Chromium ein quelloffenes Projekt und steht unter BSD-Lizenz. Die Unterschiede zu Chrome sind bekannt. Warum Chromium trotzdem im folgenden ausscheidet bleibt unklar. Mutmaßlich gibt die enge Anbindung an Google hier den Ausschlag.

Grundsätzlich kann man die Annahme teilen, dass ein Browser, der maßgeblich von Google entwickelt wird nicht sicher hinsichtlich des Schutzes der Privatsphäre sein kann. Hier gilt das gleiche wie für Android (siehe: Kommentar: Android – Keine sichere Alternative Teil II – Standortdaten über Bluetooth). Warum ist aber das eine Projekt vertrauenswürdig, weil es quelloffen ist – trotz dutzender fragwürdiger Entscheidungen in der jüngeren Vergangenheit (siehe: Firefox Quantum – Abstieg trotz Quantensprung?) – während das andere Projekt von seinem Open Source Status nicht profitiert?

Nun, vermutlich liegt das daran, dass so große Projekte wie Chromium oder Firefox von niemandem komplett überblickt werden können – schon gar nicht von Außenstehenden. Der offen liegende Quellcode wird dann aber zu einem reinen PR-Argument, weil eine faktische Sicherheitsüberprüfung nicht stattfindet oder stattfinden kann. Sofern man den Ergebnissen einer gängigen Suchmaschine trauen darf, hat es bisher auch kein vollständiges Audit einer aktuellen Firefox-Version gegeben, das gleiche gilt für Chromium.

Doch wo ist dann der Vorteil gegenüber proprietären Projekten ohne frei zugänglichen Quellcode? Es geht hier um Vertrauen und quelloffene Projekte verdienen diesen scheinbar – es sei denn sie stammen von Google. Das ist eine Argumentation mit schwerer Schlagseite und zeigt die Schieflage, in der sich die vernetze Open Source- und Datenschutzgemeinde machmal befindet.

Trotzdem ist Firefox ein guter Browser und hinsichtlich der Sicherheit eine gute Wahl. Lediglich die Argumentationsmuster muss die Open Source-/Datenschutz-Gemeinschaft nochmal hinterfragen. Die oben genannten Zitate sind exemplarisch, aber bei weitem nicht singulär. Nicht jede Voranahme ist richtig, wenn man sie lange genug behauptet.


Bilder:
Einleitungsbild und Beitragsbild von von mohamed Hassan via pixabay

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...