Hallo

Ich bin kein IT-Sicherheitsexperte, habe aber folgende Beobachtungen gemacht:

1.) In Open Source Software werden mitunter Sicherheitslöcher gefunden, die seit Jahren bestehen, obwohl jeder in den Code reinschauen kann.

In Closed-Source werden mitunter Sicherheitslöcher gefunden, die seit Jahren bestehen, weil niemand (externes) in den Code reinschauen kann.

Ja, gerade die letzten paar Jahre haben gezeigt, dass auch in Open-Source-Software (OSS) Fehler — auch sicherheitsrelevate — Jahre überdauern können, bis sie gefunden werden. Natürlich schaut nicht jeder Anwender von OSS in den Quelltext und genausowenig findet dort jeder, der sich die Quelltexte anschaut, Fehler. Es gibt aber die Möglichkeit reinzuschauen und immer wieder findet dort jemand Fehler.

In Closed-Source-Software (CSS) gibt es nur den Hersteller und eventuell von ihm Beauftrage, die die Quellen inspizieren können. Der Hersteller fällt als Fehlerfinder in vielen Fällen wegen Betriebsblindheit o.ä. mehr oder minder aus. Bleiben die eventuell hinzugezogenen Begutachter (mit Kenntnis der Quelltexte) und Anwender, denen ein Fehlverhalten auffällt, ohne die Quellen zu kennen.

Nicht dokumentiertes Verhalten und, damit im Zusammenhang stehend, Vertrauen in die Funktionen der Software ist ein weiteres Problem. Dass Apple im Gegensatz zu Google nicht die Daten seiner (Geräte)-Nutzer weiterverwertet, lese ich immer wieder. Ob das aber tatsächlich so ist, kann dennoch kein Außenstehender mit Sicherheit sagen. Alle Argumente, die ich bisher gelesen habe, leiten sich nur aus Beobachtungen ab. Die Quelltexte bezüglich der Funktionen für zu lesende und zu übertragende Daten zu studieren, ist halt nur bei OSS-(Komponenten) möglich.

2.) Wer gezielt nach Zero-Day-Exploits sucht (z.B. Geheimdienste) nutzen solche Sicherheitslücken auch oft jahrelang unbemerkt und ungehindert aus.

Das tun Kriminelle und Geheimdienste aber unabhängig davon, ob diese Fehler in OSS oder CSS gefunden werden. Das ist kein Argument gegen oder für OSS bzw. CSS.

Bleibt die Tatsache, dass es nur mit OSS Anwendern überhaupt möglich ist, auf die Quelltexte zuzugreifen. Ob sie das können oder wollen und ob sie überhaupt fähig sind, die Quelltexte verstehend zu lesen, steht aber tatsächlich auf einem anderen Blatt. Die meisten Anwender sind es tatsächlich nicht aber manche doch.

Tschö, Auge