Hej Christian,

Ich bin kein IT-Sicherheitsexperte, habe aber folgende Beobachtungen gemacht:

Gut, dass du das vorweg gesetzt hast…

Ja klar, ich will auch nicht recht haben, ich will von der Energie des Verstehens profitieren. 😉

1.) In Open Source Software werden mitunter Sicherheitslöcher gefunden, die seit Jahren bestehen, obwohl jeder in den Code reinschauen kann.

2.) Wer gezielt nach Zero-Day-Exploits sucht (z.B. Geheimdienste) nutzen solche Sicherheitslücken auch oft jahrelang unbemerkt und ungehindert aus.

Insofern scheint es mir reines Wunschdenken zu sein, wenn man behauptet, offene Software sei prinzipiell sicherer.

Das hat niemand behauptet. Die allgemein anerkannte These ist, dass Sicherheit nur mit quelloffener Software möglich ist.

Deine Beobachtung hat sich zu sehr auf OSS beschränkt, identische Beobachtungen hättest du auch bei geschlossener Software machen können. Die letzten zwei großen Trojaner-Wellen gab es genau deshalb: Geheimdienste haben Sicherheitslücken, die in geschlossener Software vorhanden sind, geheim gehalten und bei bekannt werden wurden die dann ausgenutzt.

Nein, ich habe das auch bei geschlossener Software beobachtet. Die letzten Trojaner-Wellen habe ich auch verfolgt und einige Hintergrund-Artikel dazu gelesen. — Es ging mir schlicht um die These, dass Software sicherer ist, wenn jeder den Quelltext lesen kann.

Sie könnte es vielleicht rein theoretisch sein. Die Praxis sieht aber anders aus.

Wie passt diese Aussage

Nein, die Praxis bestätigt die These.

hiermit zusammen (für mich ist das ein Widerspruch):

Ansonsten muss man auch sagen, dass sich um Sicherheitslücken im allgemeinen und 0-days im speziellen ein ganz massiver Schwarzmarkt gebildet hat, der es unattraktiv macht, solche Probleme zu veröffentlichen. Verkaufen ist da einfach viel lukrativer.

Das ist doch die Praxis, dass Sicherheitslücken absichtlich geheim gehalten werden, um davon zu profitieren. Insofern hat OSS doch keinen Sicherheitsvorteil gegenüber CSS (bestenfalls einen theoretischen, den ich ja verstehe - nützt nur nichts, wenn die Praxis ein florierender Schwarzmarkt ist).

Anders kann ich mir nicht erklären, warum die Punkte 1) und 2) Realität sind.

Software ist ausgesprochen komplex, und Sicherheitslücken zu finden erforderte bislang nicht nur den Code zu lesen und verstehen, sondern auch zu verstehen wo die Lücken und Probleme sind. Das it ein ausgesprochen komplexer Vorgang, der sehr viel Kreativität gepaart mit tiefem Verständnis erfordert.

Ales klar. Die Idee von Sicherheit durch Offenheit ist ja das Auffinden von Fehlern, deren Meldung bei den Verantwortlichen und das zeitnahe Stopfen der Lücke.

Theoretisch — wie gesagt…

Ob der Weg von Appple richtig ist, muss sich noch erweisen. Bisher stellt er aber die Entwickler von Schadsoftware und Behörden vor nicht unlösbare aber deutlich größere Probleme beim Versuch die Systeme zu kompromittieren.

Nein, da hast du etwas missverstanden. Apples Weg ist nicht security by obscurity

Das habe ich auch nie behauptet, das wurde mir untergeschoben. 😉

(„niemand darf den Code ansehen!“), sondern sie setzen auf Mechanismen, die trotz Kenntnis des Codes nicht zu überwinden sind. Einiges davon ist sogar OSS (Stichwort Darwin-Kernel).

[Beispiele]

Die Abschottung basiert IMHO im wesentlichen auf einem Kontrollzwang (der sich aber zur Zeit zu lockern scheint).

Wieder was gelernt! Herzlichen Dank!

Marc