SPD will Open-Source-Sicherheit staatlich unterstützen

16. April 2014, 10:15
7 Postings

Software sei "kritische Infrastruktur", so die SPD

Software wie OpenSSL, in der der Heartbleed-Fehler aufgetaucht ist, ist in einer weitgehend digitalen Welt zu einer kritischen Infrastruktur für Wirtschaft und Bürger geworden – vergleichbar mit einer Straße. Doch um die Sicherheit dieser "Straße" sorgen sich derzeit noch Freiwillige – ohne staatliche Unterstützung. Das soll sich nach dem Willen der SPD nun ändern.

"Dringend notwendig"

Lars Klingbeil, netzpolitischer Sprecher der SPD-Bundestagsfraktion, fordert nun, dass das beim Bundesinnenministerium angesiedelte Bundesamt für die Sicherheit in der Informationstechnik (BSI) die Freiwilligen bei der Sicherheitsüberprüfung unterstützt. "Die aktuelle Debatte um Heartbleed zeigt die Notwendigkeit, Open-Source-Software zu unterstützen und zu fördern. Hierbei sind IT-Sicherheits-Audits ein wichtiges Element des IT-Grundschutzes", sagte Klingbeil dem Wall Street Journal Deutschland.

"Voraussetzung ist, dass es eine entsprechende Finanzierung gibt, die ein angemessenes Security-Audit für OpenSSL und andere Open-Source-Security-Software möglich macht. Hier sehe ich eine öffentliche Unterstützung, beispielsweise durch das BSI, als dringend notwendig an", fügte er hinzu. Bei Security-Audits handelt es sich um eine systematische Überprüfung der Sicherheit einer Software.

CDU: Vorschlag geht in "richtige Richtung"

Vorsichtig offen für den Vorschlag zeigt sich auch der Koalitionspartner. Der netzpolitische Sprecher der Unionsfraktion, Thomas Jarzombek (CDU), sagte, der Vorschlag "zeige in die richtige Richtung." Er wolle allerdings erst abwarten, was die Open-Source-Community selbst von einem solchen Vorstoß hält und zuvor Gespräche mit Sicherheitsexperten führen. Es gelte noch eine Reihe Fragen zu klären, zum Beispiel ob das BSI sinnvoll Software auditieren kann, die es selbst nicht mitentwickelt. "Auf jeden Fall kann hier mit Energie und Geld sehr viel mehr erreicht werden, als mit dem unsinnigen Vorschlag eines Schengennetzes", sagte Jarzombek.

Offener Code

Der Code der Software OpenSSL, in den der schwerwiegende Heartbleed- Fehler eingebaut wurde, ist offen – das heißt für jeden einsehbar. Auch Anpassungen am Code kann jeder bei solcher Open-Source-Software vornehmen und das Programm selbst ist kostenlos nutzbar. Die Sicherheit der für das gesamte Internet kritischen Anwendung lastet dabei bisher auf wenigen Schultern: Das elf Leute umfassende Team besteht zum größten Teil aus Freiwilligen; nur einer arbeitet Vollzeit. Das Budget beträgt weniger als 1 Million US-Dollar im Jahr.

Deutsche Linkspartei unterstützt Vorschlag

Unterstützung für die SPD-Forderung kommt von der Linken. Halina Wawzyniak, netzpolitische Sprecherin ihrer Fraktion, sagte, dass auch Sicherheits-Audits einen Beitrag leisten können, Lücken wie den Heartbleed-Fehler zu erkennen. Ohnehin habe die Linke schon "schon immer gefordert, dass Open Source finanziell unterstützt werden muss, zum Beispiel durch die Vergabe öffentlicher Aufträge." Eine Anfrage an das Bundesinnenministerium, das für das BSI zuständig ist, blieb bis zum Dienstagmittag unbeantwortet.

Auch Andreas Bogk, Principal Security Architect bei Nokias Kartendienst HERE und Hacker beim Chaos Computer Club, hält die SPD-Forderung für sinnvoll. „Das ist ein Ansatz, der hilft – er wird nicht alle Probleme finden, aber die Sicherheitslage zumindest ein bisschen verbessern", sagte er.

Koalitionsvertrag sieht Aufstockung des BSI vor

Im schwarz-roten Koalitionsvertrag heißt es zum Thema unter anderem: "Wir bauen die Kapazitäten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und auch des Cyber-Abwehrzentrums aus." Zudem sollen die Bundesbehörden verpflichtet werden, zehn Prozent ihrer IT-Budgets für die Sicherheit ihrer Systeme zu verwenden. Mehr als warme Worte sind das bislang noch nicht – die Koalition hat sich noch nicht auf konkrete Maßnahmen zum Personalausbau geeinigt. Die SPD gehe aber „mit der Forderung nach einem deutlichen Ausbau in die Haushaltsberatungen", heißt es aus der Fraktion.

Clean-Slate-Ansatz

Eine wirklich saubere Lösung ist laut Experte Bogk langfristig allerdings nur ein "Clean-Slate-Ansatz" – die Neuerschaffung von Betriebssystem, Software und selbst Hardware von Grund auf. "Die derzeitige Computerarchitektur stammt aus den 1960er Jahren und verhindert nicht systematisch, dass bestimmte Sicherheitslücken auftreten", sagte der Experte. "Beim Clean-Slate-Approach werden Programmiersprachen so geschrieben, dass bestimmte Fehler wie Speicherfehlzugriffe gar nicht erst auftreten können", erläuterte Bogk. Entsprechende Konzepte verfolgt derzeit etwa die DARPA, die Forschungsbehörde des Pentagons. "Der Druck ist immens groß – es gibt unheimlich viele Bereiche, die sichere Computer brauchen", sagte Bogk. (WSJ.de/derStandard.at, 16.4.2014)

  • Die deutsche SPD möchte, dass der Staat "kritische Software" wie Verschlüsselungssoftware unterstützt
    foto: reuters/langsdon

    Die deutsche SPD möchte, dass der Staat "kritische Software" wie Verschlüsselungssoftware unterstützt

Share if you care.