Open Source fördern, IT-Sicherheit stärken!

Nach der breiten medialen Aufmerksamkeit, die der sogenannte Heartbleed-Bug als Programmierfehler mit katastrophalen Folgen für die gesicherte Übertragung von Internet-Daten (nein, das ist keine Übertreibung) bekommen hat, ist es an der Zeit darüber nachzudenken, wie politisch auf die Ursachen und die Reichweite reagiert werden kann.

Da im niedersächsischen Koalitionsvertrag ein klares Bekenntnis zur Förderung von Open Source-Software in Schulen und Verwaltung enthalten ist, liegt es nahe, als Folge der jetzigen Diskussionen über das Open Source-Entwicklungsmodell auch vor Ort tätig zu werden. Ich habe dazu im Folgenden einen Antrag zur kommenden niedersächsischen Landesdelegiertenkonferenz in Hameln formuliert.

Habt Ihr Interesse, den Antrag zu unterstützen, Korrektur- oder Formulierungsvorschläge oder sonstige Rückmeldungen? Meldet Euch doch gerne bei mir per Email unter info@heiko-wundram.de mit Eurem Namen und Eurem Kreisverband!

Antrag:

Die niedersächsische Landesdelegiertenkonferenz bekräftigt das Bekenntnis von BÜNDNIS 90/DIE GRÜNEN zu Open Source und offenen und transparenten Entwicklungsmodellen als Grundlage von innovativer, nachhaltiger, anbieterunabhängiger und sicherer Informationstechnologie, und bestärkt die rot-grüne Landesregierung darin, den Einsatz von quelloffener und freier Software in Behörden und Bildungseinrichtungen – wie im Koalitionsvertrag vereinbart – zu fördern.

Gleichzeitig fordert die Landesdelegiertenkonferenz die Landesregierung auf, neben dem Ausbau des Einsatzes von Open Source in einen offenen Multi-Stakeholder-Dialog mit niedersächsischen Open Source-Unternehmen und -Aktivist_innen einzutreten, um Wege zu einer besseren Unterstützung von quelloffenen Software-Projekten durch die öffentliche Hand zu entwickeln. Ziel des Dialogs ist es, Prozesse zu diskutieren, die einen unkomplizierten Rückfluss von mit öffentlichen Geldern finanzierten Zusatzentwicklungen und Anpassungen zurück an Open Source-Projekte sowie einen Beitrag zur allgemeinen Finanzierung von Open Source-Software schaffen. Hierbei soll unter Einbeziehung aller Stakeholder auch diskutiert werden, ob entsprechende Vorgaben an Bieter im Rahmen des Einsatzes oder der Einbindung von Open Source-Software bei IT-Beschaffungsverfahren des Landes rechtlich verankert werden können.

Neben der Förderung von Open Source ruft die Landesdelegiertenkonferenz die niedersächsische Landesregierung auf, Wege zu entwickeln und Mittel bereitzustellen, um zivile und universitäre IT-Sicherheitsforschung zu stärken und IT-Sicherheit so zu einem zentralen Element der zukünftigen strategischen Ausrichtung des Landes Niedersachsen zu machen. Im Besonderen fordert die Landesdelegiertenkonferenz die Landesregierung auf, bei der Vergabe von Projekt- und Investivmitteln im Rahmen von IT-Sicherheitsdienstleistungen sicherzustellen, dass allgemein nachvollziehbar stets eine vollständige Veröffentlichung (sogenannte „full disclosure“) der Ergebnisse von Sicherheitsprüfungen erfolgt, unabhängig davon, ob der durchführende Dienstleister öffentlich, universitär oder privatwirtschaftlich organisiert ist.

Begründung:

Open Source und das Open Source-Entwicklungsmodell haben sich in den vergangenen Jahren als stetige Quelle von technischen Innovationen erwiesen. Durch den Ansatz, Quellcode von Softwareprogrammen zu öffnen und gleichzeitig seinen Nutzer_innen die Freiheit zur Erweiterung und Anpassung an eigene Bedürfnisse zu geben, konnten viele Menschen und Unternehmen ihre Kreativität in die Weiterentwicklung von IT-Systemen einbringen, und damit ihr technisches Know-How für Verbesserungen effektiv bündeln. Der riesige Erfolg von Softwarepaketen wie Linux, Mozilla Firefox und Libre Office zeigt eindrucksvoll, dass Open Source längst einen festen Platz in der IT-Landschaft erreicht hat – nicht nur, aber auch aufgrund der deutlich stärkeren Anbieterunabhängigkeit, die mit ihrem Einsatz einhergeht.

Neben Produkten wie Firefox und Libre Office, die unmittelbar von Endanwender_innen genutzt werden, bildet Open Source-Software – vor allem als Systembibliotheken und Betriebssystemsoftware – das Rückgrat vieler heutiger Netzwerke. Ohne die konsequente Verfolgung eines offenen und freien Entwicklungsmodells wäre ein weltweites Netz wie das Internet in seiner heutigen Form nicht denkbar, da durch die Transparenz des Entwicklungsprozesses eine Analyse von Komponenten auf Fehler, Sicherheitslücken, Optimierungen und mögliche Erweiterungen jederzeit und durch viele erfolgt. Da jedoch gerade Systemsoftware in einigen Anwendungsgebieten besondere Kenntnisse und Ausbildung bei Programmierung und Wartung benötigt, stößt der traditionell von Open Source vertretene „viele Augen“-Ansatz bei diesen Komponenten an Grenzen. Aus diesem Grund werden häufig – neben einem Pool an freiwilligen Mitarbeiter_innen – auch technische Koordinator_innen und fest angestellte Programmierer_innen durch parallel gegründete Stiftungen und Non-Profit-Organisationen finanziert.

Steve Marquess, Vorstand der OpenSSL-Stiftung, spricht in einem Artikel in der taz davon, dass sich die finanzielle Ausstattung dieser projektunterstützenden Organisationen größtenteils prekär gestaltet. Obwohl quelloffene Software vielfältige Verbreitung gefunden hat, ist in vielen Institutionen und Firmen deren Förderung – wie zum Beispiel der organisierte Rückfluss von Anpassungen an die Open Source-Projekte, die finanzielle Unterstützung von Projektorganisationen oder sogar die (Teilzeit-)Beschäftigung von Entwickler_innen – immer noch nicht selbstverständlich. Diesem Missstand muss entgegengesteuert werden, um technische Gemeingüter, zu denen Open Source zählt, zu unterstützen. Aus dem Wunsch, den Einsatz von Open Source in Behörden und Bildungseinrichtungen zu fördern, ergibt sich somit auch der Auftrag, einen zielgerichteten Dialog zwischen öffentlicher Hand, Unternehmen und Open Source-Aktivist_innen und -Organisationen zu starten, um die Handlungsfähigkeit, die finanzielle Ausstattung und die demokratische Selbstorganisation und -verwaltung von Open Source-Projekten zu stärken.

Neben der Innovationsfähigkeit, die Open Source und das Open Source-Entwicklungsmodell bereits vielfach bewiesen haben, wird als häufiger Grund für ihren Einsatz eine Verbesserung von IT-Sicherheit genannt. So begünstigt der transparente Entwicklungsprozess die Entdeckung von Sicherheitslücken und erlaubt eine schnelle Behebung, ohne auf zeitnahe Aktualisierungen von Anbietern angewiesen zu sein. Gerade im Rahmen der momentan im Land durchgeführten Umstellung des Arbeitsplatzbetriebssystems von Windows XP auf aktuellere Versionen wird deutlich, wie sehr IT-Sicherheit bei geschlossen entwickelter Software von Rahmenbedingungen des Soft- oder Hardwareanbieters abhängt, die durch Nutzer_innen nur schwer und unter hohem finanziellen Aufwand zu beeinflussen sind. Quelloffene Software und transparente Entwicklungsmodelle bieten somit beste Voraussetzungen, um IT-Sicherheit nachhaltig und zukunftsfähig zu stärken.

Open Source ist ein effektives Instrument, um Sicherheit in IT-Systemen zu steigern, ist jedoch kein Allheilmittel gegen Fehler in Software. So wurde Anfang April ein kritischer Programmierfehler in der sehr verbreitet eingesetzten Verschlüsselungsbibliothek OpenSSL entdeckt, welcher eine vollständige Kompromittierung von verschlüsselt transportierten Daten, wie etwa Kennwörtern, zur Folge hatte. Es gibt glaubwürdige Hinweise, dass staatliche Akteure – wahrscheinlich Geheimdienste – bereits deutlich vor der Erkennung und Behebung des sogenannten Heartbleed-Bugs von diesem Kenntnis hatten, und er aus sicherheitspolitischen Motiven genutzt wurde, um in Systeme einzubrechen und Daten auszuleiten. Eine solche längerfristige Geheimhaltung von Programmierfehlern führt dazu, dass Sicherheitslücken auch von kriminellen Akteuren entdeckt und ausgenutzt werden können und damit eine unverantwortliche Gefährdung von Nutzer_innen informationstechnischer Systeme entsteht.

Als Gegenentwurf zu einer solchen Politik der Geheimhaltung und möglicherweise versteckten Behebung von Sicherheitslücken hat sich bereits seit geraumer Zeit der sogenannte „full disclosure“ Ansatz etabliert, bei dem zeitnah, vollständig und öffentlich über Ursache und Wirkung von kritischen Fehlern informiert wird. Hierdurch reduziert sich die Zeit, in der Nutzer_innen Fehlern in sicherheitskritischen Komponenten ausgesetzt sind, messbar. Durch das Bekenntnis, dass bei der Vergabe von und Forschung an IT-Sicherheitsdienstleistungen „full disclosure“ einzuhalten ist, stärkt das Land Niedersachsen die Sicherheit von Internet-Nutzer_innen in Niedersachsen und auch weltweit.

BÜNDNIS 90/DIE GRÜNEN haben sich bereits vielfach zur Unterstützung von Open Source bekannt, nicht zuletzt durch die klare Maßgabe des niedersächsischen Koalitionsvertrags, dass quelloffene Software gefördert werden soll. Die Forderungen dieses Antrags setzen ein Zeichen, um Open Source und IT-Sicherheit auch weiterhin als ein zentrales Element der niedersächsischen IT-Strategie zu definieren und formulieren eine mögliche Grundlage für einen konstruktiven Dialog mit den beteiligten Stakeholdern. Es liegt nun an allen politischen Akteur_innen, diesen Dialog aufzugreifen und umzusetzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.