14. Juli 2024

Heartbleed und Open Source

Jetzt, wo so langsam das ganze Ausmaß der OpenSSL-Sicherheitslücke bekannt wird, stellt sich unter anderem auch die Frage, in welchem Licht das die Grundidee der Quelloffenheit von Programmcode erscheinen lässt. Da wir in der Vergangenheit größtenteils mit OpenSource-Software – allen voran Magento, OXID eShop und Shopware in den jeweiligen Versionen – gearbeitet haben und Unternehmen immer zu einer Open-Source-Strategie raten würden, müssen wir uns jetzt fragen: Ist die Party damit vorbei?

Absolut nicht. Natürlich ist die Sicherheitslücke ein Problem von besonderer Tragweite und man muss sich die Frage stellen, warum ein eigentlich trivialer Programmierfehler über solch einen langen Zeitraum nicht bemerkt wurde. Ist nicht das durch die Quelloffenheit erst mögliche Mehr-Augen-Prinzip und die damit verbundene Transparenz das entscheidende Argument für Freie Software?

Nach Bekanntwerden der Lücke wurde schnell ein Patch veröffentlicht und Unternehmen haben schnell reagiert. Die Hosting-Provider beispielsweise, mit denen wir im E-Commerce-Umfeld zusammenarbeiten, konnten innerhalb von Stunden das Problem lösen und ihre Kunden entsprechend informieren. Zwar ist noch nicht absehbar, welche wirtschaftlichen Folgen der Heartbleed-Bug haben wird, doch der Umgang mit der Thematik trennt unserer Einschätzung nach Dienstleister-Spreu vom -Weizen und lässt erkennen, wie ernsthaft das Thema Sicherheit im Einzelfall vorangetrieben wird.

An dieser Stelle lohnt sich ein Gedankenexperiment: Was wäre, wenn es sich bei OpenSSL um eine proprietäre Lösung handelte? Fühlten wir uns dann als private und geschäftliche Nutzer des Internet sicherer bei dem Gedanken, dass die Qualität einer weltweit eingesetzten Verschlüsselungstechnologie in den Händen eines (möglicherweise) einzigen Unternehmens läge? Einem Unternehmen, dass die Entscheidung zur Bekanntmachung einer derartigen Sicherheitslücke seinem wirtschaftlichen Kalkül unterwirft bzw. unterwerfen muss?

Die Diskussion sei hiermit eröffnet. Vielleicht möchte auch Zoman Renner einen Kommentar dazu abgeben?

(Bild von philmikejones)

Roman Zenner (ShopTechBlog)

Ich beschäftige mich seit mehr als 20 Jahren mit E-Commerce-Technologie und gehe hier im Blog der Frage nach, mit welchen Systemen Marken und Händler:innen ihr Online-Geschäft abbilden.

Alle Beiträge ansehen von Roman Zenner (ShopTechBlog) →