In Debatten um Softwaresicherheit führen verschiedene Vertreter von ideologischen Schulen immer wieder vermeintlich rationale Argumente an, aber letztlich geht es bei den meisten Produkten und Diensten hinter argumentativen Nebelkerzen nur um Vertrauen.

Drei Beispiele

Quelloffene vs. Proprietäre Software

Das bekannteste Beispiel dieser Debatte ist sicherlich die nicht enden wollende Auseinandersetzung zwischen den Vertretern quelloffener Software und solchen mit geschlossenen Lizenzen. Die Vertreter quelloffener Software bringen immer eine Reihe von Standardargumenten um die Überlegenheit ihres Ansatzes hinsichtlich der Sicherheit und dem Datenschutz zu belegen. Ohne Anspruch auf Vollständigkeit ist dies meist:

  1. Transparente Entwicklung mit Mehr-Augen-Prinzip
  2. Jeder interessierte Dritte kann den Code ansehen
  3. Transparente Erfassung sicherheitsrelevanter Probleme.

Nichts davon ist falsch, aber die Zeiten, in denen Software wenige hundert Zeilen umfasste und nahezu jeder interessierte sich das ansehen konnte sind lange vorbei. Viele zentralen Softwareprojekte sind inzwischen gewaltig geworden. Keine interessierte Person kann „mal eben so“ Firefox oder LibreOffice verstehen, vom Linux Kernel mal ganz zu schweigen.

Letztlich geht es also um das Vertrauen in die Entwickler. Wenn Entwickler ihren Code offen legen und theoretisch mit der Einsichtnahme von unbeteiligten Dritten rechnen müssen glauben die Vertreter des Open Source-Gedankens implizit ihnen einen Vertrauensvorschuss gewähren zu können. Vertrauen, das man in die Entwickler proprietärer Produkte nicht investieren mag.

Die Probe auf das Exempel ist hier SELinux. Eigentlich komplett freie Software, aber weil große Teile der Community dem Urheber – der NSA – nicht vertrauen, gab und gibt es hier massive Vorbehalt. Obwohl der Code ausführlich geprüft wurde und man nichts gefunden hat.

Dezentralisierte vs. zentralisierte Dienste

In der Open Source Community und Datenschutz-Szene sind dezentralisierte (Kommunikations-) Dienste gerade sehr en vogue. Obwohl es begründete und belegte sicherheitsrelevante Bedenken gibt präferieren einige Experten sehr offen diese Lösungen und führen Zentralisierung immer wieder als Negativpunkt an.

Ganz offensichtlich vertrauen diese Menschen den Betreibern dezentralisierter Server mehr, als dem einen Betreiber eines zentralisierten Systems. Selbst wenn letzterer eine professionell aufgestellte Firma ist, die Transparenz durch Audits hergestellt hat und erster möglicherweise ein Amateur.

Hardware

Ein anderes Beispiel ist die Hardware. Etwas überspitzt nützt quelloffene Software nur wenig, wenn man der Hardware nicht vertrauen kann. Denn Hardware besteht heute nicht mehr mehr nur aus Bauteilen, sondern einer Vielzahl an Firmwares & Co. Besonders im Fokus dürfte hier gerade Intels ME stehen. Man kann jetzt nicht sagen, die Open Source Gemeinschaft hätte dieses Problem nicht erkannt, wohl aber dass bisher kaum Abhilfe in Sicht ist.

Welche Bedeutung hier Vertrauen hat, zeigt in etwas größerem Maßstab die medial sehr sichtbare Debatte um die Beteiligung von Huawei an der 5G-Infrastruktur. Es stehen Spionage-Vorwürfe im Raum, die öffentlich nicht belegt sind und auch hinter den Kulissen vermissen Experten wohl die berühmte Smoking Gun.

Fazit

Vertraue niemandem, der behauptet es würde nicht um Vertrauen gehen. Natürlich kann man den einen Argumenten Vorzug vor den anderen geben und Transparenz, sowie die Möglichkeit zur Kontrolle ist definitiv eine vertrauensbildende Maßnahme aber letztlich geht es im Kern immer im Vertrauen.


Bilder:
Einleitungs- und Beitragsbild von qimono via pixabay

Gerrit
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Kommentare werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein