Reflexionen: Der Kern ist Vertrauen

In Debatten um Softwaresicherheit führen verschiedene Vertreter von ideologischen Schulen immer wieder vermeintlich rationale Argumente an, aber letztlich geht es bei den meisten Produkten und Diensten hinter argumentativen Nebelkerzen nur um Vertrauen.

Drei Beispiele

Quelloffene vs. Proprietäre Software

Das bekannteste Beispiel dieser Debatte ist sicherlich die nicht enden wollende Auseinandersetzung zwischen den Vertretern quelloffener Software und solchen mit geschlossenen Lizenzen. Die Vertreter quelloffener Software bringen immer eine Reihe von Standardargumenten um die Überlegenheit ihres Ansatzes hinsichtlich der Sicherheit und dem Datenschutz zu belegen. Ohne Anspruch auf Vollständigkeit ist dies meist:

  1. Transparente Entwicklung mit Mehr-Augen-Prinzip
  2. Jeder interessierte Dritte kann den Code ansehen
  3. Transparente Erfassung sicherheitsrelevanter Probleme.

Nichts davon ist falsch, aber die Zeiten, in denen Software wenige hundert Zeilen umfasste und nahezu jeder interessierte sich das ansehen konnte sind lange vorbei. Viele zentralen Softwareprojekte sind inzwischen gewaltig geworden. Keine interessierte Person kann „mal eben so“ Firefox oder LibreOffice verstehen, vom Linux Kernel mal ganz zu schweigen.

Letztlich geht es also um das Vertrauen in die Entwickler. Wenn Entwickler ihren Code offen legen und theoretisch mit der Einsichtnahme von unbeteiligten Dritten rechnen müssen glauben die Vertreter des Open Source-Gedankens implizit ihnen einen Vertrauensvorschuss gewähren zu können. Vertrauen, das man in die Entwickler proprietärer Produkte nicht investieren mag.

Die Probe auf das Exempel ist hier SELinux. Eigentlich komplett freie Software, aber weil große Teile der Community dem Urheber – der NSA – nicht vertrauen, gab und gibt es hier massive Vorbehalt. Obwohl der Code ausführlich geprüft wurde und man nichts gefunden hat.

Dezentralisierte vs. zentralisierte Dienste

In der Open Source Community und Datenschutz-Szene sind dezentralisierte (Kommunikations-) Dienste gerade sehr en vogue. Obwohl es begründete und belegte sicherheitsrelevante Bedenken gibt präferieren einige Experten sehr offen diese Lösungen und führen Zentralisierung immer wieder als Negativpunkt an.

Ganz offensichtlich vertrauen diese Menschen den Betreibern dezentralisierter Server mehr, als dem einen Betreiber eines zentralisierten Systems. Selbst wenn letzterer eine professionell aufgestellte Firma ist, die Transparenz durch Audits hergestellt hat und erster möglicherweise ein Amateur.

Hardware

Ein anderes Beispiel ist die Hardware. Etwas überspitzt nützt quelloffene Software nur wenig, wenn man der Hardware nicht vertrauen kann. Denn Hardware besteht heute nicht mehr mehr nur aus Bauteilen, sondern einer Vielzahl an Firmwares & Co. Besonders im Fokus dürfte hier gerade Intels ME stehen. Man kann jetzt nicht sagen, die Open Source Gemeinschaft hätte dieses Problem nicht erkannt, wohl aber dass bisher kaum Abhilfe in Sicht ist.

Welche Bedeutung hier Vertrauen hat, zeigt in etwas größerem Maßstab die medial sehr sichtbare Debatte um die Beteiligung von Huawei an der 5G-Infrastruktur. Es stehen Spionage-Vorwürfe im Raum, die öffentlich nicht belegt sind und auch hinter den Kulissen vermissen Experten wohl die berühmte Smoking Gun.

Fazit

Vertraue niemandem, der behauptet es würde nicht um Vertrauen gehen. Natürlich kann man den einen Argumenten Vorzug vor den anderen geben und Transparenz, sowie die Möglichkeit zur Kontrolle ist definitiv eine vertrauensbildende Maßnahme aber letztlich geht es im Kern immer im Vertrauen.


Bilder:
Einleitungs- und Beitragsbild von qimono via pixabay

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Mehr aus dem Blog

Fedora Silverblue – Toolbox für grafische Anwendungen

Unveränderbare Linux-Systeme wie Fedora Silverblue nutzen als Standard Flatpak für Anwendungsinstallationen. Doch noch liegen nicht alle Anwendungen als Flatpak vor. Diese können dann entweder...

Fedora Silverblue im Praxistest

Ich liebe LTS-Distributionen, aber diese bewahren einen leider nicht vor defekten SSDs im Notebook. Da ich keine Vollsicherung der Systeme mache, sondern nur Datenbackups...

Neues Design bei Mozilla Thunderbird

Die Entwickler von Mozilla Thunderbird wagen sich an eine Modernisierung des überkommenen Designs. Dabei zeigen sich die alten Probleme der Open Source Entwicklung. Mangels...

systemd und TPM – Die Reise geht weiter

Auf der diesjährigen FOSDEM kündigte Lennart Poettering die Weiterentwicklung der TPM-basierten Sicherheitsfunktionen in systemd an. Die Vision eines neuen Linux nimmt immer mehr Gestalt...