Bislang wurde eine Software als Werkzeug angesehen, das zumindest bis zu nächsten Upgrade statisch bleibt. Nach dem neuen Verständnis steht auch im kommerziellen Teil der Branche *die Implementierung, die laufende Anpassung und die Mitarbeiterschulung im Vordergrund*. Software könnte statt als Produkt als eine Dienstleistung zur Generierung, Distribution, Manipulation und Archivierung von Informationsflüssen verstanden werden.
Eine allgemeine Tendenz zu Dezentralisierung, Abbau von Hierarchien und offenen Systemgrenzen ist auf jeden Fall nicht zu übersehen. Globalisierung und Flexibilisierung der Wirtschaftsstrukturen sind vielfach verzeichnete Trends. Die Projekte der freien Software übertreffen jede management- und organisationstheoretische Vision an *Dezentralisation, lockerer Kooperation und zwangloser Koordination*. Genauso wie die Frage nach dem »Standort« eines multinational operierenden Unternehmens wenig Sinn macht, kann man auch von den Softwareprojekten nicht sagen, sie seien amerikanisch, deutsch oder sonstwie nationalstaatlich zuzuordnen. Ihr Standort ist das Internet.
»Traditionell bestimmt sich der Preis einer Ware aus den Faktoren An- gebot und Nachfrage. Da die Freie Software per Definition beliebig ko- piert und verteilt werden darf, und weil die Reproduktion im Zeitalter von CD-ROM und Internet mit keinen nennenswerten Kosten verbun- den ist, wird das Angebot beliebig groß. Der Preis für die Software muss demnach selbst bei überwältigender Nachfrage beliebig klein werden. In der Realität befindet er sich tatsächlich auf dem Niveau des Selbstkos- tenpreises für die Reproduktion. _Einen Internetanschluss vorausgesetzt, ist Freie Software ohne zusätzliche Kosten erhältlich.« _
Kooperative Hilfe finden sie im Internet sowie bei den Distributoren und anderen Dienstleistern. Freie Software bietet die Chance, sich von proprietären Anbietern zu emanzipieren und *sich selbst zu qualifizieren*. Sie fordert zum Ausprobieren und zum Lernen heraus. Dabei vermittelt sich durch freie Software neben dem Wissen über die Anwendung auch das Wissen über die zu Grunde liegende Technologie.
Durch ihre Unabhängigkeit von Produktzyklen, Marktkonzentration und Insolvenzen bietet die freie Software eine unübertreffliche *Sicherheit der getätigten Investitionen* in Menschen, Hard- und Software. Die kontinuierliche Entwicklung kann durch immer neue Generationen von Programmierern aufrecht erhalten werden.
Weit verbreitet: Freie Software lebt jedoch weiterhin wesentlich davon, dass die Menschen Arbeit in sie stecken, die die Reproduktion ihrer Arbeitskraft anderweitig sichern können. *Verwertung und Entfaltung ist ein unaufhebbarer Widerspruch. Die Motivation kommt vom Lernen, Wissen, Lehren, und vom Zeitvertreib.*
Wollen wir die Zeit investieren, um *für unsere Gemeinschaften konstruktiv Beiträge zu leisten*, die nicht in irgendeiner Form über Geld abgerechnet werden? Das sind Sozialleistungen, das sind Sportleistungen, das ist aber auch die Selbstverwaltung unserer Organe, das ist das Lehren und Lernen außerhalb der geordneten Schulen, das ist aber auch das Erziehen der Kinder, das ist das Machen der Familie und ich weiß nicht, was alles. Das heißt, wenn wir so einen großen Teil der verfügbaren Zeit >Freizeit< nennen, dann missdeuten wir schon ihre Funktion. Darum gibt es Bemühungen, das als
Sozialzeit<, >Gemeinschaftszeit< oder wie auch immer.
Finanzierung ist oft schwierig:
Geld verdienen:
Erfolg:
Geschäftsmodelle für freie Software sind gegenüber proprietärer Software für den Kunden günstiger, weil die Wiederverwendung von freier Software mit einkalkuliert wird. allerdings beschränkt sich hier die Wiedervewendung auf die *eigenen Produkte*. Bei freier Software geniesst man den *kostenlosen allgemeinen Fortschritt* der Werkzeuge. Bei starkem Preisdruck machen das Softwarehäuser die proprietäre Lösungen verkaufen natürlich auch. Der real existierende Markt ist allerdings nicht perfekt.
1. Betriebssicherheit (Stabilität, Verfügbarkeit, Investitionssicherheit, Haftung)
2. Systemsicherheit (Abhörschutz, Kryptografie, Firewalls)
Die Experten vom deutschen Bundesamt für die Sicherheit in der Informationstechnik (BSI) über das Bundeswirtschafts- und Forschungministerium bis zum Chaos Computer Club ( CCC) sind der einhelligen Überzeugung, dass *die Quelloffenheit einer Software essenzielle Voraussetzung* für ihre Sicherheit unter allen Gesichtspunkten ist. Proprietäre Software, bei der die Anwenderin sich einzig auf das Wort des Anbieters verlassen kann, muss grundsätzlich als suspekt angesehen werden. *Überprüfbarkeit durch Experten des eigenen Vertrauens*, d.h. Quelloffenheit, ist Voraussetzung für Vertrauensbildung. Sie ist notwendige, wenn auch nicht hinreichende Voraussetzung. Für die Sicherheit ist nichts gewonnen, wenn einem Interessenten der Quellcode zwar offengelegt, ihm aber nicht die Möglichkeit gegeben wird, diesen Quellcode *anzupassen und daraus selbst ein lauffähiges System zu kompilieren*.
Das Vertrauen in die stabilen Besitzverhältnisse der Unternehmen, auf die man sich in IT-Sicherheitsfragen verlässt, ist unbegründet:
»1997 hat die Bundesregierung erklärt, dass im Bereich der Bundesbehörden 65 000 PCs mit Microsoft-Betriebssystemen im Einsatz sind. Heute werden es einige Tausend mehr sein. Keiner dieser PCs lässt sich auf Sicherheitsmängel überprüfen, ob er jetzt im Berlin-Bonn-Verkehr eingesetzt wird oder nicht. Im Übrigen wurde die genutzte Kryptografie-Hardware im Bonn-Berlin-Verkehr von einer Firma geliefert, die, nachdem der Kaufentschluss gefallen war, von der südafrikanischen Firma Persetel Q Holdings gekauft wurde, die während der Zeiten des Boykotts gegen Südafrika groß geworden sind, mit besonders guten Kontakten zum südafrikanischen Militär. Im Herbst 1999 wurde dieser Firmenteil immerhin von der deutschen Firma UtiMaco gekauft. Für Blackbox-Systeme ist daran wichtig: Das Know-how um die Kryptografiemodule war für einige Zeit für Beteiligte offengelegt, deren Vertrauenswürdigkeit niemand geprüft hat. Hier gibt es einige Probleme, die dadurch nicht besser werden, wenn wir uns auf große kommerzielle Anbieter verlassen.«
Auch die *Flexibilität und Anpassbarkeit* von quelloffener Software ist sicherheitsrelevant.
Die US-Navy hat festgestellt, dass Schiffe in der Adria im Kosovo-Krieg Mails senden und empfangen konnten und dass ihre Soldaten ziemlich blauäugig nicht nur Mails anderer Leute gelesen, sondern auch sensitive Informationen per Mail an ihnen unbekannte Leute weitergegeben haben. Was war die Lösung? Eingehende Mails wurden erlaubt, ausgehende nicht. Das funktioniert mit schlecht anpassbaren Systemen nur auf diese Art und Weise. Man hätte sich natürlich auch andere Wege überlegen können, diese Systeme ein wenig besser der neuen Situation anzupassen. Eine solche Anpassung ist natürlich bei Blackbox-Systemen schlichtweg unmöglich.
Zunächst ist anzumerken, dass auch *proprietäre Unternehmen für ihre Produkte keine Gewährleistung übernehmen*. Ihre Software wird so angeboten, »wie sie ist« (asis), ohne die darüber hinausgehende Garantie, dass sie für den intendierten Einsatz taugt und mit so weitgehenden Garantie- und Haftungsausschlüssen, wie es die jeweilige nationale Jurisdiktion zulässt.
Als Beispiel sei hier der Standardpassus aus dem Microsoft End-User License Agreement (EULA) angeführt. Hier als Beispiel ein Ausschnitt der EULA für DCOM98:
NO WARRANTIES. Microsoft expressly disclaims any warranty for the SOFTWARE PRODUCT. THE SOFTWARE PRODUCT AND ANY RELATED DOCUMENTATION IS PROVIDED “AS IS” *WITHOUT WARRANTY OR CONDITION OF ANY KIND*, EITHER EXPRESS OR IMPLIED, INCLUDING, WITHOUT LIMITATION, THE IMPLIED WARRANTIES OR CONDITIONS OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. *THE ENTIRE RISK ARISING OUT OF USE OR PERFORMANCE OF THE SOFTWARE PRODUCT REMAINS WITH YOU.*
LIMITATION OF LIABILITY. *In no event shall Microsoft or its suppliers be liable for any damages* whatsoever (including, without limitation, damages for loss of business profits, business interruption, loss of business information, or any other pecuniary loss) *arising out of the use of or inability to use the SOFTWARE PRODUCT*, even if Microsoft has been advised of the possibility of such damages. Because some states and jurisdictions do not allow the exclusion or limitation of liability for consequential or incidental damages, the above limitation may not apply to you.
Rechtliche Schritte wären auch sonst schwierig:
Das heißt, wenn ein Fehler auftritt, kann ich mich effektiv nicht mit einiger Sicherheit an die Firma wenden, die für diesen Fehler verantwortlich ist. Wir kennen es, wenn man eine Hotline befragt, dann wird meistens gesagt: >Das könnte ja auch noch den und den Grund haben. Es könnte der Treiber von irgendeinem Hardwareteil sein.< _Solange die Sourcen nicht wirklich offen liegen, hat der Anbieter eines proprietären Systems natürlich die Möglichkeit abzustreiten, dass der Fehler bei ihm liegt. Und ich habe keine Möglichkeit, das herauszufinden. _
Die USA, die nicht nur die Ausfuhr starker Kryptografietechnologie verboten, sondern auch eine aggressive Außenpolitik betrieben haben, um alle anderen Länder davon zu überzeugen, ebenfalls eine Schlüsselhinterlegungstechnologie (Key eschrow) einzuführen, haben vor kurzem ihre Exportvorschriften geändert, so dass starke Kryptografie ausgeführt werden darf, solange der Quellcode offen ist.
Das Wassenaar Abkommen ist ein Versuch, die verschiedenen nationalen Politiken zu harmonisieren. Für die freie Software ist besonders interessant, dass gemäss der General Software Note Nr. 2 kryptografische Software von Restriktionen ausgenommen ist, wenn sie gemeinfrei (”public domain”) ist. Public domain heisst frei von Urheberrechten, was für freie Software allerdings nicht zutrifft.
Der Schutz von Daten auf einem Rechner (z.B. Patientendaten), die Vertraulichkeit von Kommunikationen (z.B. Vertragsverhandlungen zwischen Unternehmen), die Verhinderung der nachträglichen Veränderung von Dokumenten (z.B. vertragliche Abmachungen), die Sicherung der Identität von Transaktionspartnern durch digitale Signaturen, der Beleg für das Absenden und den Empfang von Dokumenten, die Verhinderung der Nichtanerkennung von Vereinbarungen und schließlich der gesamte Komplex der digitalen Zahlungsverfahren beruhen sämtlich auf kryptografischen Systemen. Sie waren bis vor kurzem die exklusive Domäne von Militär und Geheimdiensten.
Zwei Positionen treffen an dieser Frage aufeinander: einerseits das Grundrecht auf Unantastbarkeit der Kommunikation und der Schutz der *Privatsphäre*, andererseits das *Sicherheitsinteresse* des Staates. Die Konfliktlinie verläuft in allen Ländern zwischen den Daten- und Persönlichkeitsschutzverfechtern und den Strafverfolgungs- und Nachrichtendiesten.
Zum einen soll ein Vertrauen in die Sicherheit solcher Systeme erzeugt werden, indem sie in einem vertraulichen Prozess entwickelt werden und ihre Funktionsweise geheimgehalten wird. Dieser so genannte *Security by Obscurity* Ansatz herrscht unter den proprietären Produkten vor. Dagegen kann die Sicherheit von quelloffenen Systemen, die im Prinzip jeder Interessierte einsehen kann, nur darauf beruhen, dass der Mechanismus auch dann schützt, wenn er bekannt ist.
Rieger nennt als weitere Beispiele GSM, den Standard, der heute in den meisten Mobiltelefonen verwendet wird, und der trotz strenger Geheimhaltung von einer US-amerikanischen Hackergruppe geknackt werden konnte. Auch bei der Telefonkarte der Deutschen Telekom kam ein Hamburger Sicherheits-Consulting-Unternehmen zu dem Ergebnis, dass die von der Telekom gewählte Chipkartentechnologie keine inhärente Sicherheit biete, sondern diese allenfalls in einem Technologievorsprung von etwa drei oder vier Jahren gegenüber möglichen Angreifern beruhe. Diese Vorhersage hat sich bewahrheitet. Mit gefälschten Telefonkarten wird ein gutes Geschäft gemacht.
Besonders *große Programme, die erst nachträglich quelloffen gemacht werden, sind extreme schwer zu überschauen*.
Kaum jemand hat den gesamten Quellcode der Kryptografie-Software PGP (Pretty Good Privacy) durchgelesen und kann sicher sagen, dass sich darin keine Hintertür befindet. Und wenn sich mehrere Personen die Arbeit teilen, ist die Gefahr, etwas zu übersehen, noch viel größer. Seit Anfang 1998 liegt das Programm PGP 5.0 im Quelltext vor, ein gravierender Fehler, der unter bestimmten Voraussetzungen die Sicherheit unterminiert, für die das Programm eigentlich sorgen soll, wurde jedoch erst im Mai des darauffolgenden Jahres bekannt. Für Rieger ist der einzige Weg zu solchen Kernsicherheitssystemen wie PGP, diese von Anfang an offen zu entwickeln, wie das bei der GNU-PG (s.u.) der Fall ist. Nur eine permanent mitlaufende Überprüfung bietet die Gewähr, dass nicht nachlässig oder gezielt Sicherheitsprobleme eingebaut werden.
Auch *viele unbekannte Komponenten* sind ein Risiko:
»Die eigentlichen Probleme in der Sicherheit liegen darin, dass man Software und Systeme mit sehr vielen Unbekannten, d.h. nicht offenge- legten Komponenten verwendet. Bei Betrachtung der Kryptografie kann man sich eine starke Kryptografie unter MS NT vorstellen, die über ei- nen Treiber in das System eingebunden wird. Die Dateien werden zwar wunderbar verschlüsselt, aber über einen verdeckten Kanal kommen sie letztendlich doch dorthin, wo sie nicht hin sollen.«
Die Bundesregierung fasste am 2. Juni 1999 einen *Beschluss, der die breite Verwendung von starken Kryptografieprodukten durch jedermann ohne jede Beschränkung* vorsieht (BMWi, Eckpunkte 1999). Zu den Schritten, die Hubertus Soquat (Referent für IT-Sicherheit im BMWi) in Berlin vortrug, gehört die Erhöhung der Verfügbarkeit von Kryptoprodukten von der Entwicklung über die Produktion und den Vertrieb bis zum Einsatz.
Pretty Good Privacy (PGP) hatte Nachteile:
1. Source Code ist zwar verfügbar, aber es ist nicht erlaubt, Modifikationen daran vorzunehmen, zusätzliche Features einzubauen, Teile aus PGP zu entfernen, die man für Sicherheitsrisiken hält und Software bereitzustellen, die auf PGP basiert.
2. Network Associates war Mitglied der Key Recovery Alliance, einem Zusammenschluss von US-Firmen, die eine Infrastruktur für die treuhänderische Schlüsselhinterlegung nach den Vorstellungen der US-Regierung betreiben will.
3. Features wie Corporate Message Recovery (CMR). Anders als beim firmenexternen Key Recovery, das die NSA anstrebt, wird dabei jede Mail an einen Angestellten einer Firma nicht nur mit dessen persönlichem öffentlichen Schlüssel, sondern auch mit dem seines Unternehmens verschlüsselt. Ziel ist, dass die Firma auch dann noch auf die Korrespondenz dieses Mitarbeiters zugreifen kann, wenn er selbst nicht mehr zur Verfügung steht.
Deswegen die Entwicklung von GNU Privacy Guard (GPG). Das Bundeswirtschaftsministerium ließ seinen Kryptoeckwerten Taten folgen. Als erstes freies Softwareprojekt überhaupt erhielt GPG *Förderung aus Bundesmitteln in Höhe von mehreren Hunderttausend Mark. Ziel des BMWi ist es, dass GPG möglichst breit eingesetzt wird, und dazu sind komfortable Benutzerschnittstellen und eine Einbindung in die verschiedenen Betriebssysteme und E-Mail-Programme erforderlich.*
Auch das im Januar 1997 gestartete Programm Information Technology for the 21st Century (IT-21) sieht den Übergang zu einem Einsatz von handelsüblichen PCs und Industriestandards in taktischen und unterstützenden Kriegsführungsnetzwerken vor. Ziel von IT-21 ist es, alle US-Streitkräfte und letztlich auch die Alliierten der Amerikaner mit einem Netzwerk zu verbinden, das eine nahtlose Sprach-, Video- und Datenübertragung von geheimer und nicht geheimer, taktischer und nicht taktischer Information über dieselben PCs erlaubt. Konkret heißt dies, dass die gemeinsame Betriebsumgebung der US-Streitkräfte auf Windows NT, MS Exchange und MS Office beruhen soll. Die Verwendung aller Nicht-Standard-Netzwerkbetriebssysteme und E-Mail-Produkte wurde zum Dezember 1999 eingestellt. Neben den Dual-Use-Produkten macht die Entwicklung von Software für den ausschließlich militärischen Einsatz (Military Unique Development) einen zunehmend kleineren Anteil aus, der aber als wichtigste Kategorie für die nationale Sicherheit angesehen wird (Waffensysteme, störsichere Kommunikation und Atombombensimulationen). Selbst für diese Kategorie von Software werden Stimmen lauter, die den »Basar« als das beste Entwicklungsmodell ansehen.
Die Hauptvorteile einer Übernahme der Open Source-Konzepte für das Department of Defense (!DoD) sieht Seiferth *in der Interoperabilität, im langfristigen Zugang zu archivierter Information und in einem Kostenfaktor, der bislang verhindert habe, dass das Militär auf dem neuesten Stand der Softwareentwicklung bleibt*.
»Wenn ich mir irgend ein System beschaffe, und ich bin mir nicht klar, wie sicher das ist, kann ich mir eine Sicherheitsfirma anheuern, die mir das erklärt und die ich selber dafür bezahle. Das ist die eine Lösung. Die andere Möglichkeit wäre, dass Distributoren dafür zahlen, dass sie sichere Systeme haben und das jemanden haben prüfen lassen. Das ist die kommerzielle Variante. Oder, und das wäre vielleicht das Effektivste, diese *vertrauenswürdigen Instanzen beteiligen sich direkt an der Entwicklung*.«
(Mike, http://www.openlaw.ch/)
Volker Grassmuck, *Freie Software: Zwischen Privat- und Gemeineigentum*, Bundeszentrale für politische Bildung, Bonn 2002, ISBN 3-89331-432-6, http://freie-software.bpb.de/.
Bruce Schneier, *Beyond Fear: Thinking Sensibly About Security in an Uncertain World*, ISBN 0-387-02620-7, http://www.schneier.com/book-beyondfear.html.