Kommentar: Open Source Realitäten – Fallbeispiel EncFS

Wenn man eine Diskussion über die Vorteile von Open Source diskutiert, kommt zuverlässig ein Beitrag, der die Möglichkeit zur Mitarbeit preist. Wenn man einen Vorschlag hat oder der ursprüngliche Autor keine Lust/Zeit mehr hat, kann einfach jemand anderes übernehmen. Faktisch entstehen aber viele Open Source Projekte in Gutsherrenmanier und in der Realität entstehen eher neue Projekte oder ein Fork.

Ein sehr gutes Beispiel für diese Probleme der Open Source Entwicklung ist EncFS. Dabei handelt es sich um eine – zeitweilig sogar mal „die“ – Verschlüsselungslösung für Dateien, die besonders durch den massiven Ausbau von Cloud-Speichern an Popularität gewonnen hat. Die dateibasierte Verschlüsselungslösung eignete sich nämlich hervorragende für den Cloudeinsatz. Das kommerziell höchst erfolgreiche Boxcryptor integrierte den EncFS-Menchamismus in seine Windows-Lösung, weshalb man auch von Linux aus auf mittels Boxcryptor verschlüsselte Ordner zugreifen konnte.

Diese Erfolgsgeschichte endete mit einem Audit im Januar 2014, der gravierende Sicherheitsmängel vor allem im Cloudeinsatz aufzeigte. Der Entwickler sieht sich momentan (und das sind nun auch schon mehr als 4 Jahre) außerstande, die immer noch bestehenden Sicherheitslücken zu schließen.

EncFS war 2014 eine wichtige Software mit einem hohen Verbreitungsgrad. Nach dem verbreiteten Open Source Argument hätten sich nun Entwickler finden müssen, die dem Originalautor beispringen und die Probleme beheben. Das ist jedoch nicht geschehen. Stattdessen wurden zahllose Alternativen aus der Taufe gehoben. Die populärsten freien Projekte heißen CryFS, Cryptomator und Gocrypt. Letzteres empfiehlt quasi sogar der EncFS-Entwickler.

Jetzt könnte man sagen, dass doch alles gut sein. Die Open Source Gemeinschaft hätte doch alternative und sichere Projekte aus der Taufe gehoben. Dabei unterschätzt die Gemeinschaft aber permanent zwei wichtige Punkte. Erstens möchten die meisten nicht Dutzende Alternativen mit dem gleichen Zweck („Cloud-Verschlüsselung“) haben. Sie möchten eine gut funktionierende Variante, die ihnen durch eine Suchmaschine ihrer Wahl als Lösung angeboten wird, ohne tagelange Recherche nach Audits und Vor- und Nachteilen. Zweitens unterschätzt die Open Source Gemeinschaft permanent die Bedeutung eines etablierten Namens für das Marketing. Spätestens durch Boxcryptor kannten viele EncFS und es war leicht dazu Tutorials und Ähnliches zu finden. Es funktionierte außerdem betriebssystemübergreifend und integrierte sich durch Drittprojekte in alle Desktopumgebungen. EncFS erschien als seriöse Lösungen. Die zahllosen alternativen Nachfolgeprojekte müssen alle wieder Bekanntheit erreichen, teilen den bereits relativ kleinen Markt unter sich auf und funktionieren meist nur auf einem Betriebssystem.

Open Source schafft es nur dann, Entwickler für bestehende Projekte zu gewinnen, wenn diese professionell organisiert sind (z. B. in einem Verein oder einer Foundation) und das Projekt zu groß ist, um eine Neuentwicklung sinnvoll erscheinen zu lassen. Bestehende Projektentwickler bemühen sich aber auch zu selten aktiv um einen Nachfolger, weil sie in Gutsherrenmentalität ihr Projekt als Eigentum begreifen. Man lässt das Projekt lieber sterben, als es wegzugeben.

Die Partizipationsmöglichkeit und Nachhaltigkeit ist somit eher Theorie als Praxis. Letztlich müssen die Anwender bei Open Source die Entwicklersprünge meistens mit vollziehen. Der permanente Wechsel von einem sterbenden Projekt zum nächsten todgeweihten Unterfangen ist jedoch ermüdend.

Cruiz
Cruizhttps://curius.de
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.
  1. Hallo Gerrit,
    ich bin hier gerade auf diesen Post gestoßen und muss dir sagen, dass ich da etwas anderer Meinung bin. Die Open Source Software Entwicklung krankt doch insbesondere daran, dass viele Menschen Open Source Code in ihrer Freizeit schreiben und das netterweise der Allgemeinheit zur Verfügung stellen. Firmen wie Apple oder auch AVM nehmen das dann, und machen das Ergebnis (teilweise illegal) closed source. Jetzt auch ganz aktuell mit der Luca App passiert: Irgendjemand will Geld machen und baut eine kommerzielle Software aus/mit Open Source Code. Das ist toll. Aber es ist dann die Aufgabe des Unternehmens, die Integrität dieses Codes zu garantieren. Boxcrypt hätte den Code vielleicht mal aus eigener Inititaive auditieren lassen können oder zumindest nach Entdeckung der Sicherheitsprobleme Entwickler gegen Geld an das Problem setzen können. Das wäre toll gewesen, da es dann auch die Möglichkeit gegeben hätte, in Form von Weiterentwicklung etwas von dem kommerziellen Erfolg, den das Programm hatte, der Allgemeinheit zurückzugeben.

    Ich habe den Eindruck, manche Menschen halten Open Source (Code) offenbar für so etwas wie einen Gratis-Selbstbedienungsladen. Das geistige Eigentum Anderer klauen und sich dann oft noch einen Dreck um die Konditionen kümmern, die die Entwickler zur Nutzung und Teilung des Codes festgelegt haben. Wenn sich dann herausstellt, dass der Code doch nicht so toll ist, dann wird dem Entwickler auch noch vorgeworfen, er sei unprofessionell oder die Leute sind erstaunt und entrüstet, wenn man ihnen sagt, dass Support oder die Weiterentwicklung nicht gratis ist? Das finde ich wirklich nicht fair. Der Schöpfer von EncFs hätte das Programm sicher gerne gefixt, wenn er dafür einen für ein Linux Systemprogrammierer Gehalt bekommen hätte.

    Das kann jetzt an mir liegen, aber ich habe das Gefühl, Du hast nicht so richtig verstanden, wo die Prioritäten der „Open Source Gemeinschaft“ liegen. Die haben diese von Dir erwähnten Punkte nicht unterschätzt, sie spielen einfach keine Rolle. Es geht doch nicht darum, dass ein Open Source Produkt ein gutes Marketing hat, oder einen großen Bekanntheitsgrad erlangt. Das ist ein Gedanke aus dem Kommerziellen Bereich, es besteht doch gar so großer Druck für den Schöpfer, sein Werk weiter zu verbreiten, wenn es ihm nicht ums Geld geht. Jeder möchte ohne Stress ganz einfach die richtige Software finden ohne tagelange Recherche bei Google. Da gibt es eine ganz simple betriebssystemunabhängige Lösung: Man bezahlt Jemanden kompetentes und erwartet nicht, dass es alles umsonst gibt. Auch nicht, wenn es Open Source ist.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Weitere Artikel