Symbolbild "Entwickler"

Wenn man eine Diskussion über die Vorteile von Open Source diskutiert kommt zuverlässig ein Beitrag, der die Möglichkeit zur Mitarbeit preist. Wenn man einen Vorschlag hat oder der ursprüngliche Autor keine Lust/Zeit mehr hat, kann einfach jemand anderes übernehmen. Faktisch entstehen aber viele Open Source Projekte in Gutsherrenmanier und in der Realität entstehen eher neue Projekte oder ein Forks.

Ein sehr gutes Beispiel für diese Probleme der Open Source Entwicklung ist EncFS. Dabei handelt es sich um eine – zeitweilig sogar mal „die“ – Verschlüsselungslösung für Dateien, die besonders durch den massiven Ausbau von Cloudspeichern an Popularität gewonnen hat. Die dateibasierte Verschlüsselungslösung eignete sich nämlich hervorragende für den Cloudeinsatz. Das kommerziell höchst erfolgreiche Boxcryptor integrierte den EncFS-Menchamismus in seine Windows-Lösung, weshalb man auch von Linux aus auf mittels Boxcryptor verschlüsselte Ordner zugreifen konnte.

Diese Erfolgsgeschichte endete mit einem Audit im Januar 2014, der gravierende Sicherheitsmängel, vor allem im Cloudeinsatz aufzeigte. Der Entwickler sieht sich momentan (und das sind nun auch schon mehr als 4 Jahre) außerstande die immer noch bestehenden Sicherheitslücken zu schließen.

EncFS war 2014 eine wichtige Software mit einem hohen Verbreitungsgrad. Nach dem verbreiteten Open Source Argument hätten sich nun Entwickler finden müssen, die dem Originalautor beispringen und die Probleme beheben. Das ist jedoch nicht geschehen. Stattdessen wurden zahllose Alternativen aus der Taufe gehoben. Die populärsten freien Projekte heoßen CryFS, Cryptomator und Gocrypt. Letzteres empfiehlt quasi sogar der EncFS-Entwickler.

Jetzt könnte man sagen, dass doch alles gut sein. Die Open Source Gemeinschaft hätte doch alternative und sichere Projekte aus der Taufe gehoben. Dabei unterschätzt die Gemeinschaft aber permanent zwei wichtige Punkte. Erstens möchten die meisten nicht dutzende Alternativen mit dem gleichen Zweck („Cloud-Verschlüsselung“) haben. Sie möchten eine gut funktionierende Variante, die ihnen durch eine Suchmaschine ihrer Wahl als Lösung angeboten wird, ohne tagelange Recherche nach Audits und Vor- und Nachteilen. Zweitens unterschätzt die Open Source Gemeinschaft permanent die Bedeutung eines etablierten Namens für das Marketing. Spätestens durch Boxcryptor kannten viele EncFS und es war leicht dazu Tutorials und ähnliches zu finden. Es funktionierte außerdem betriebssystemübergreifend und integrierte sich durch Drittprojekte in alle Desktopumgebungen. EncFS erschien als seriöse Lösungen. Die zahllosen alternativen Nachfolgeprojekte müssen alle wieder Bekanntheit erreichen, teilen den bereits relativ kleinen Markt unter sich auf und funktionieren meist nur auf einem Betriebssystem.

Open Source schafft es nur dann Entwickler für bestehende Projekte zu gewinnen, wenn diese professionell organisiert sind (z. B. in einem Verein oder einer Foundation) und das Projekt zu groß ist um eine Neuentwicklung sinnvoll erscheinen zu lassen. Bestehende Projektentwickler bemühen sich aber auch zu selten aktiv um einen Nachfolger, weil sie in Gutsherrenmentalität ihr Projekt als Eigentum begreifen. Man lässt das Projekt lieber sterben als es wegzugeben.

Die Partizipationsmöglichkeit und Nachhaltigkeit ist somit eher Theorie als Praxis. Letztlich müssen die Anwender bei Open Source die Entwicklersprünge meistens mit vollziehen. Der permanente Wechsel von einem sterbenden Projekt zum nächsten totgeweihten Unterfangen ist jedoch ermüdend.


Bilder:
Einleitungsbild und Beitragsbild von von 200 Degrees via pixabay

Gerrit
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Kommentare werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein