Nationaler Tag der Computersicherheit - Wie Freiwillige die schlimmste Sicherheitslücke im Internet behoben haben

Es ist schwer, sich an eine Zeit zu erinnern, in der der Online-Kauf von Produkten kaum mehr als ein Wunschtraum war. Heute können Kreditkartentransaktionen sicher über das Internet übertragen werden, ohne dass die Daten anderer Personen gefährdet werden. Eine Reihe von Verschlüsselungstools, die in den späten 1990er Jahren entwickelt wurden, macht dies möglich. OpenSSL hat die komplizierte Aufgabe der Verschlüsselung von Daten übernommen und es Entwicklern auf der ganzen Welt leichter gemacht, sie in ihre Programme zu übernehmen. Und ein kleines Team von Freiwilligen hat es möglich gemacht. Ja, Freiwillige.

Es ist schwer vorstellbar, dass große Teams von Entwicklerinnen und Entwicklern auf der ganzen Welt unentgeltliche Arbeit leisten, um einige der wichtigsten Software-Tools der Welt zu pflegen. In vielen Fällen wird die Mitarbeit an diesen Projekten als öffentlicher Dienst angesehen. Einige der Entwicklerinnen und Entwickler sind Profis, die in ihrer Freizeit mitarbeiten, andere sind Studierende, die an ihrem Handwerk feilen, und wieder andere sind Gott-weiß-was.

Die Frage ist berechtigt: Was ist, wenn es einen Fehler in OpenSSL gibt? Was sind die Anreize für diese unbezahlten Freiwilligen, ihn zu beheben? Darüber brauchst du dich nicht zu wundern, wenn du dir die Geschichte der "schlimmsten Sicherheitslücke, die gefunden wurde, seit kommerzieller Verkehr im Internet stattfindet", vor Augen hältst.¹

Die Entwicklung von OpenSSL verlief praktisch im Verborgenen. Außerhalb von Softwareentwicklungs- und nationalen Sicherheitskreisen wussten nur wenige Menschen, was es war. Doch schon bald erlangte das Projekt nationale Aufmerksamkeit, als ein Google-Ingenieur einen Fehler mit dem Spitznamen "Heartbleed" entdeckte. Wenn Heartbleed ausgenutzt wird, könnten Hacker sensible Daten (wie Kreditkartennummern und E-Mail-Adressen) ausspähen, die über das Internet ausgetauscht werden.

Ein Sicherheitsberater des US-Verteidigungsministeriums namens Stephen Marquess, der ebenfalls Code zu dem Projekt beigesteuert hatte, half bei der Gründung der OpenSSL Foundation, um Geldmittel zu beschaffen, um OpenSSL am Leben zu erhalten. Marquess rief öffentlich zur Unterstützung des Teams auf, um zu verhindern, dass zukünftige Bugs so lange unentdeckt bleiben wie Heartbleed:

"Diese Jungs arbeiten nicht für Geld an OpenSSL. Sie tun es nicht, um berühmt zu werden (wer außerhalb von Geek-Kreisen hat je von OpenSSL gehört, bevor "Heartbleed" in den Nachrichten auftauchte?). Sie tun es aus Stolz auf ihre Handwerkskunst und aus Verantwortung für etwas, an das sie glauben."

Heartbleed entpuppte sich als ein Segen. Die Entdeckung des Fehlers führte zu mehr finanzieller Unterstützung für das OpenSSL-Projekt. Aber die Zukunft könnte neue Komplikationen mit sich bringen. Das Open-Source-Geschäftsmodell - oder das Fehlen eines solchen - macht es schwierig, die Finanzierung wichtiger Projekte zu gewährleisten. Du kannst über die Website des OpenSSL-Projekts spenden, aber es gibt noch viele andere Software-Tools, denen die Unterstützung fehlt, um zu überleben.

Wenn du daran interessiert bist, Open-Source-Projekte zu unterstützen, kannst du hier anfangen:

• Finde die Projekt-Website oder die GitHub-Seite
• Schau, wer die Mitwirkenden sind
• Schau nach, ob sie Spenden annehmen
• Teile das Projekt mit anderen
• Überlege, ob du dich beteiligen willst

InMotion Hosting setzt mit seinen Hosting-Produkten Hunderte von Open-Source-Programmen aller Größen und Komplexitäten ein und möchte den Menschen hinter den Kulissen danken, die all das möglich machen, indem sie ihre Zeit und ihre geistigen Ressourcen spenden.

Open-Source-Projekte werden immer wieder gegründet und wieder eingestellt. Ohne die Unterstützung von Freiwilligen aus der Gemeinschaft oder ein nachhaltiges Geschäftsmodell könnte dein Lieblingsprojekt verschwinden. Engagiere dich also noch heute.