Hallo,

Nun, bei vollständiger Veröffentlichung der Quellen kann in diese Quellen _jeder_ hineinschauen, nicht nur der Anwender. Sei es aus Zufall oder auf Nachfrage: diese Quelle kann auch jemand anschauen, der sich damit auskennt. Augrund der Struktur des Internets können so festgestellte Unregelmäßigkeiten (geschickt verborgene Backdoor, Quellen pasen gar nicht zum Programm etc) sofort und weltweit veröffentlicht werden. Da so zumindest die Quellen als überprüft gelten können, kann aus diesen Quellen ein insoweit sicheres Programm gebaut werden, als es die Statistik zuläßt.

Wenn man die übliche Closed-Source-Software verwendet, muss man dem Entwickler hundertprozentiges Vertrauen schenken. Dieses Vertrauen kann sich dadurch aufbauen, dass man andere Meinungen über die Software liest von offensichtlich fachkundigen Menschen, die das Programm getestet und für gut befunden haben. Irgendwem muss man letztlich reichlich blind vertrauen, jeweils weil ihm andere vertrauen und so weiter und so fort. Ein Vertrauensnetzwerk.

Exakt dasselbe gilt nun auch für Open-Source-Software.

Den Unterschied sehe ich erst darin, dass man für gewöhnlich glaubt, denjenigen Autoren einen Vertrauensbonus geben zu können, die bewusst im regen Austausch mit der OSS-Szene und mit Anwendern stehen und bei denen andere Programmierer/Firmen/Organisationen mit Rang und Namen bei der Entwicklung mitwirken. Dazu muss man davon ausgehen, dass auch die versteckteste Codezeile von einer neutralen Instanz abgeklopft und einer Prüfung unterzogen wurde. Auf was fußt da das Vertrauen letztlich, das man diesen entgegenbringt?

Bei den sicherheitskritischen Projekten von namhaften Entwicklergruppen, die weltweit bekannt sind, schließt man das Vertrauen natürlich daraus, dass ausnahmslos jeder positiv über die Qualität spricht und einem niemals Meldungen über absichtlich schadhaften Code in der Software zu Ohren gekommen sind. Wenn es sich um ein kleineres Projekt handelt, nicht einmal ein völlig unbekanntes, dann gibt es vielleicht zwei bis drei Hauptentwickler und ein dutzend Mitarbeiter, die an der Peripherie herumbasteln. Ein gewöhnlicher Benutzer hat keinen Einblick in die Abläufe und kann im Grunde nicht beurteilen, ob dort ordentliche Code Review abläuft. Nicht einmal jemand, der hinsichtlich Softwareentwicklung kein unbeschriebenes Blatt ist, wird diese Gruppenprozesse beurteilen können, wenn nicht gerade alle Kommunikation vollkommen transparent gemacht wird. Gerade in kleinen Teams wird meiner Erfahrung nach gerne unstrukturiert gewerkelt – man ist ja meist der einzige, der den Code überhaupt verstehen muss, denkt der Entwickler.

Letztlich muss man sich darauf verlassen, dass alles seine Richtigkeit hat, dass überall gewissenhafte Menschen arbeiten, die von gewissenhaften Menschen kontrolliert werden, dass wie du sagst keine riesigen Verschwörungen existieren. Und dass die Gruppenprozesse, die bei Unregelmäßigkeiten sofort entsprechende Lauffeuer entfachen, tadellos funktionieren.

Bei den vielen kleinen nützlichen (Open-Source-)Programmen von Unbekannten, die du ansprichst, bin ich mir aber sicher, dass große Codeteile nie von Dritten geprüft wurden. Schon gar nicht in einem Maße, dass man davon vertrauenswürdige Spuren im Netz findet. Schon gar nicht von ihrerseits nachweisbar vertrauenswürdigen Menschen. Es ergibt sich insgesamt nichts bzw. nichts Handfestes, woraus sich ein Netzwerk des Vertrauens aufbauen könnte. Trotzdem führe ich diese Programme mit Rechten aus, mit denen sie die Benutzerdaten löschen oder sensible Daten, Spam und Viren versenden könnten, den Rechner zum Zombie für DDoS-Attacken missbrauchen könnten usw. usf. Dazu braucht nicht einmal viel Code im Programm selbst angelegt sein, vielleicht nur eine unscheinbare Lücke, die das nachträgliche Einschleusen von beliebigem Code zulässt.

Nun, das ist ja alles schön und gut, aber lästig und teilweise auch unmöglich, da es viele Programme gibt für die es auch mit sehr viel Geld und guten Worten keine Quellen gibt. (...) Kann eine Trennlinie gezogen werden und wenn ja wo? Ja, es kann und sie sollte da gezogen werden, wo das Programm das Sicherheitsmaß beeinflussen kann. Diese Trennung ist aber leider alles andere als scharf, zumindest eine Art Threshhold wäre begrüßenswert.

Ich sehe da leider überhaupt keine Trennbarkeit. Wenn man die Frage des Vertrauens allgemein betrachtet, so wäre Jörgs Software der allerletzte Punkt, an dem man sich um Sicherheit und Privatsphäre bemühen würde. Wenn man einen riesigen Haufen (Closed-Source-)Software auf dem Rechner hat, die größtenteils vollen Zugriff auf alle Ressourcen und damit auf die Benutzerdaten hat, kann man nicht plötzlich bei einem (weiteren) kleinen Programm eines Hobby-Programmierers die große Panik bekommen und offene Quellen fordern. Gerade bei diesen würden die genannten Vorteile der vollständigen Quelloffenheit (d.h. nicht nur »Quellcode auf Anfrage und Mitwirkung erwünscht«) am wenigsten zum Tragen kommen. Hätte man solche Ängste, müsste der Normalbenutzer an jede Software, die diese Rechte hat, dieselben Anforderungen der Zuverlässigkeit und Vertrauenswürdigkeit stellen, nicht nur an solche, die das »Sicherheitsmaß beeinflussen« nach deiner Definition.

Mathias