In Debatten um Softwaresicherheit führen verschiedene Vertreter von ideologischen Schulen immer wieder vermeintlich rationale Argumente an, aber letztlich geht es bei den meisten Produkten und Diensten hinter argumentativen Nebelkerzen nur um Vertrauen.
Drei Beispiele
Quelloffene vs. Proprietäre Software
Das bekannteste Beispiel dieser Debatte ist sicherlich die nicht enden wollende Auseinandersetzung zwischen den Vertretern quelloffener Software und solchen mit geschlossenen Lizenzen. Die Vertreter quelloffener Software bringen immer eine Reihe von Standardargumenten um die Überlegenheit ihres Ansatzes hinsichtlich der Sicherheit und dem Datenschutz zu belegen. Ohne Anspruch auf Vollständigkeit ist dies meist:
- Transparente Entwicklung mit Mehr-Augen-Prinzip
- Jeder interessierte Dritte kann den Code ansehen
- Transparente Erfassung sicherheitsrelevanter Probleme.
Nichts davon ist falsch, aber die Zeiten, in denen Software wenige hundert Zeilen umfasste und nahezu jeder interessierte sich das ansehen konnte sind lange vorbei. Viele zentralen Softwareprojekte sind inzwischen gewaltig geworden. Keine interessierte Person kann “mal eben so” Firefox oder LibreOffice verstehen, vom Linux Kernel mal ganz zu schweigen.
Letztlich geht es also um das Vertrauen in die Entwickler. Wenn Entwickler ihren Code offen legen und theoretisch mit der Einsichtnahme von unbeteiligten Dritten rechnen müssen glauben die Vertreter des Open Source-Gedankens implizit ihnen einen Vertrauensvorschuss gewähren zu können. Vertrauen, das man in die Entwickler proprietärer Produkte nicht investieren mag.
Die Probe auf das Exempel ist hier SELinux. Eigentlich komplett freie Software, aber weil große Teile der Community dem Urheber – der NSA – nicht vertrauen, gab und gibt es hier massive Vorbehalt. Obwohl der Code ausführlich geprüft wurde und man nichts gefunden hat.
Dezentralisierte vs. zentralisierte Dienste
In der Open Source Community und Datenschutz-Szene sind dezentralisierte (Kommunikations-) Dienste gerade sehr en vogue. Obwohl es begründete und belegte sicherheitsrelevante Bedenken gibt präferieren einige Experten sehr offen diese Lösungen und führen Zentralisierung immer wieder als Negativpunkt an.
Ganz offensichtlich vertrauen diese Menschen den Betreibern dezentralisierter Server mehr, als dem einen Betreiber eines zentralisierten Systems. Selbst wenn letzterer eine professionell aufgestellte Firma ist, die Transparenz durch Audits hergestellt hat und erster möglicherweise ein Amateur.
Hardware
Ein anderes Beispiel ist die Hardware. Etwas überspitzt nützt quelloffene Software nur wenig, wenn man der Hardware nicht vertrauen kann. Denn Hardware besteht heute nicht mehr mehr nur aus Bauteilen, sondern einer Vielzahl an Firmwares & Co. Besonders im Fokus dürfte hier gerade Intels ME stehen. Man kann jetzt nicht sagen, die Open Source Gemeinschaft hätte dieses Problem nicht erkannt, wohl aber dass bisher kaum Abhilfe in Sicht ist.
Welche Bedeutung hier Vertrauen hat, zeigt in etwas größerem Maßstab die medial sehr sichtbare Debatte um die Beteiligung von Huawei an der 5G-Infrastruktur. Es stehen Spionage-Vorwürfe im Raum, die öffentlich nicht belegt sind und auch hinter den Kulissen vermissen Experten wohl die berühmte Smoking Gun.
Fazit
Vertraue niemandem, der behauptet es würde nicht um Vertrauen gehen. Natürlich kann man den einen Argumenten Vorzug vor den anderen geben und Transparenz, sowie die Möglichkeit zur Kontrolle ist definitiv eine vertrauensbildende Maßnahme aber letztlich geht es im Kern immer im Vertrauen.
