Die digitale Welt basiert auf Freiwilligenarbeit: die übersehene Bedeutung von Open Source

Der Amerikaner Gary Gregory musste in seinen Ferien die Log4j-Lücke schliessen. Ein Schweizer Sicherheitsingenieur entwickelt nach der Arbeit gratis Hochsicherheitssysteme. Wie kann das sein?  NZZ  21-12-2021

Open-Source-Programmierer leisten Profiarbeit, teilweise unter prekären Umständen.

Dafür, dass Gary Gregory die vergangenen Tage durcharbeiten musste, obwohl er eigentlich Ferien hat, ist er erstaunlich gut gelaunt. Der Entwickler ist einer der Hauptverantwortlichen für Log4j, jene Software-Komponente also, in der jüngst eine gravierende Sicherheitslücke gefunden wurde. «Oooh, Shit» habe er gedacht, als ihn die Warnmeldung erreicht habe, sagt Gregory. Es sei ihm gleich klar gewesen, dass ihm und seiner Handvoll Mitstreiter einige schlaflose Nächte bevorstanden.

Im Internet lebt derweil eine ältere Vignette wieder auf: Sie zeigt eine abenteuerliche Konstruktion aus Blöcken, die an der Basis auf einer zerbrechlichen Säule ruht. Die Konstruktion stellt «die ganze moderne Digitalinfrastruktur» dar, die schmale Säule «ein Projekt, das irgendwer in Nebraska seit 2003 ohne Dank pflegt».

 

XKCD Comic / CC.2.5

Gary Gregory lebt zwar in Florida und unterhält die Komponente Log4j «erst» seit neun Jahren. Abgesehen von diesen Details passt das Bild perfekt zur jetzigen Situation. Denn das kostenlose Stück Software, von Freiwilligen entwickelt und betreut, steckt in Anwendungen von der iCloud bis zum Tesla.

Die Sicherheitslücke ist eine der schlimmstmöglichen. Sie öffnet Hackern Tür und Tor. Wenn man aber einen positiven Aspekt an der Sache finden mag, dann ist es der, dass endlich stärker ins öffentliche Bewusstsein dringt, zu welch grossen Teilen die digitale Infrastruktur von unbezahlter, ungesehener Arbeit abhängt.

Open Source steckt auf allen Ebenen in Computersystemen

Das ist auch in der Schweiz so. In einer Umfrage des Vereins CH-Open unter Firmen und Behörden mit mindestens einem IT-Verantwortlichen gaben 97 Prozent an, Open-Source-Software (OSS) zu nutzen; etwa die Hälfte sogar in mehr als 15 Anwendungsbereichen.

In der Schweiz baut ein Grossteil der Unternehmen auf Open-Source-Software

Einsatzgebiete von Open-Source-Software bei Schweizer Unternehmen

2015

2021

020406080100Mindestens ein BereichMehr als 15 Bereiche

140 Befragte, mehrheitlich Geschäftsleitende von Unternehmen, häufig im ICT- oder Verwaltungssektor.

Quelle: Open-Source-Studie Schweiz 2021

NZZ / ful.

Open Source wird in allen möglichen Bereichen angewendet: Programmiersprachen wie Java und Python, Webserver- und Datenbank-Programme, Desktop-Anwendungen wie Firefox und Libre Office sind nur einige wenige Beispiele. Solche Software steckt also auf allen Ebenen in Computersystemen.

Open Source nennt man Software, deren Quellcode öffentlich zugänglich ist. Die Urheber räumen mit einer Lizenz den Nutzern das Recht ein, die Software und den Quellcode für jeden Zweck zu verwenden, sie dürfen ihn auch verbreiten oder für sich anpassen. Weil der gesamte Code transparent ist, können die Verwender selbst Probleme finden und lösen. Idealerweise entsteht ein Austausch, der die Software insgesamt immer besser macht, ähnlich wie es bei der Online-Enzyklopädie Wikipedia funktioniert.

Häufig wird der Code nicht einfach auf irgendwelchen Websites veröffentlicht, sondern unter dem Dach von Stiftungen, die Regeln und Prozesse haben, welche die Qualität der Software garantieren sollen. Genug Geld, um all die Freiwilligenarbeit zu bezahlen, haben die Stiftungen nicht.Gary Gregory arbeitet im Durchschnitt etwa zehn Stunden pro Woche an Open-Source-Projekten. Er sagt: «Mit einem Vollzeitjob und drei Kindern ist es nicht einfach.» Er ist aus Leidenschaft und Spass an der Sache. Im Vergleich zum Beruf kann er sich kreativer ausleben. Statt der Vorstellungen der Business-Kunden stehen seine eigenen Ideen im Mittelpunkt, das mag er.

Gregory hat Glück. Denn sein Arbeitgeber unterstützt seinen Einsatz und erlaubt ihm, gelegentlich während der Arbeitszeit an seinem Open-Source-Projekt zu arbeiten. «Meiner Firma ist klar, dass sie von Open Source profitiert und es nur fair ist, auch einmal etwas zurückzugeben.»

Das ist eher die Ausnahme. In der bereits zitierten Befragung unter Schweizer Anwendern geben weniger als ein Viertel der Organisationen an, dass Angestellte während der Arbeitszeit zu Open-Source-Entwicklungen beitragen dürfen. Auch Spenden an die Freiwilligen oder an Organisationen hinter dem Code sind recht selten.

Manche Nutzerfirmen tragen zu Open-Source-Software (OSS) bei

Anteil der befragten Organisationen, die Open Source fördern, nach Methode

020406080100Wirken in Gremien mitVeröffentlichen selbst CodeEntrichten Spenden an OrganisationenErlauben es Angestellten, während der Arbeitszeit an OSS zu arbeitenEntrichten Spenden an einzelne Freiwillige

Quelle: Open-Source-Studie Schweiz 2021

NZZ / ful.

Der Sicherheitsingenieur Christian Folini kennt die Situation aus erster Hand. Der Schweizer arbeitet mindestens 500 Stunden pro Jahr an «seinem» Open-Source-Projekt. Er ist einer von zwei Leitern des «Modsecurity Core Rule Set» der auf Sicherheit spezialisierten Open-Source-Stiftung Owasp. Das «Modsecurity Core Rule Set» ist ein Set von schwer lesbaren Regeln, die bösartige Angriffe erkennen und abwehren sollen. So ein Regelset ist Teil der Infrastruktur von sicherheitssensiblen Anwendungen, etwa beim Online-Banking oder im Cloud-Bereich.

Microsoft, Google, AWS, Yahoo, Cloudfare: Alle integrieren und vertreiben Folinis Regelset. Von den Genannten unterstützt nur Google das Projekt mit Spenden. Punktuell konnte Folini kleinere Firmen als Sponsoren anwerben. Mit dem Geld finanziert die Gruppe etwa, dass rund um die Uhr eine Person erreichbar ist, um Fragen zu beantworten. Wenn mehr Geld da wäre, könnte die Qualität der Software, also die Sicherheit der Anwender, weiter erhöht werden. Doch dieses Bewusstsein fehlt meist.

Wie Gregory ist Folini intrinsisch motiviert, er sagt aber auch: «Es macht nicht unbedingt Spass, nach Mitternacht an Code zu schreiben, wenn man Familie hat und am nächsten Tag arbeiten muss.»

 

Dabei ist Folinis Fall speziell, denn er profitiert auch beruflich von seinem Open-Source-Projekt. Er bietet nämlich Kurse und Beratungen an, etwa für Banken, die seine Software einsetzen. Meist kommen die Banken durch kommerzielle Anbieter an seinen Open-Source-Code. Der «Zwischenhändler» hilft beim Einrichten und übernimmt die Haftung, wenn etwas schiefläuft. Doch weil Folini das Produkt besser kenne, als jene, die es verkauften, würden sich Banken und andere Abnehmer für Schulungen dann doch wieder an ihn wenden. So eine Mischsituation aus Kooperation und Konkurrenz ist typisch für Open-Source-Projekte und an sich nicht problematisch.

Vorwurf der unlauteren Konkurrenz durch Swisscom-Tochter

Folini stört sich aber daran, dass den kommerziellen «Zwischenhändlern» zum Teil jedes Bewusstsein für den Open-Source-Gedanken fehlt. Das illustriert der folgende Fall.

Eine der Firmen, deren Geschäftsmodell mit auf seinem Open-Source-Projekt basiert, ist die Schweizer Firma United Security Provider, die seit 2019 der Swisscom gehört. Sie hat im Frühling auf Youtube ein Video veröffentlicht. Ein Mann mit Anzug und dicker Brille erklärt darin die Vorteile der eigenen Lösung im direkten Vergleich mit der Open-Source-Software.

Unter anderem preist er ein Feature als exklusiven Vorteil der kommerziellen Software an, das schon seit Jahren zentraler Teil des «Modsecurity Core Rule Set» ist. Vielleicht eine Unachtsamkeit der Kommunikationsabteilung. Doch auch nachdem Folini die Firma vor einigen Monaten darauf aufmerksam gemacht hatte, dass er ein Problem habe mit der Aussage, blieb das Video online, seine Anfragen wurden nicht mehr beantwortet. Erst nach einer Anfrage der NZZ im Rahmen dieser Recherche nahm die Firma das Video vom Netz und entschuldigte sich bei Folini.

Open Source funktioniert nur, wenn genug Leute beitragen

Das sei ein typischer Fall von kurzsichtigem Verhalten gegenüber Open-Source-Entwicklern, sagt Folini. Häufig fehle bei kommerziellen Anbietern das Bewusstsein, dass Open Source nicht nachhaltig funktioniere, wenn alle nähmen und einige wenige zurückgäben.

Wohl deshalb hat sich Gary Gregory dafür Zeit genommen, zwischen Besprechungen mit den anderen Log4j-Entwicklern, dem Beantworten von Mails überforderter Anwender und dem Abholen der Kinder aus der Schule mit der NZZ zu telefonieren. Er hofft, dass die Log4j-Lücke ein Weckruf für die Branche wird.

Das tut auch Matthias Stürmer, Forscher im Bereich digitale Nachhaltigkeit an der Berner Fachhochschule und Präsident des Vereins CH-Open. Er sieht die Anwenderfirmen in der Pflicht, selbst stärker zu Open-Source-Software beizutragen, indem sie den Code selbst prüfen und Rückmeldungen geben oder die Organisationen und Privatpersonen dahinter finanziell unterstützen.

Die Unterstützung von Open Source sei aber auch eine öffentliche Aufgabe, sagt er: «Sicherheitslücken in der IT-Infrastruktur schaden schliesslich allen.» Zum Beispiel könnte der Staat unabhängige Prüfungen von Open-Source-Software finanzieren, wie es die EU in einem Projekt namens Free and Open Source Software Auditing, kurz: Fossa, tut.