Dienstag, 18. Juni 2024

Uni Bonn und OSB Alliance: über den Goldstandard bei Software

Bonn. (uni) Die Sicherheit von Software ist ein zentrales Thema in der heutigen digitalen Welt. Eine aktuelle Studie der Universität Bonn ging nun der Frage nach, ob es dabei Unterschiede in der Sicherheit von frei verfügbarer (Open Source) Software und sogenannter proprietärer Software im Eigentum privater Rechteinhaber gibt. Dr. Marc Ohm vom Institut für Informatik der Universität hat die wissenschaftliche Arbeit im Auftrag der Open Source Business Alliance (OSB Alliance) erstellt, die auch mögliche Lösungsansätze aufzeigen sollte. Seine Ergebnisse werfen ein neues Licht auf die Debatte.

Die langjährige Diskussion über die Sicherheit von Open-Source- und proprietärer Software ist seit langem von zwei Lagern geprägt: Anhänger beider Seiten argumentierten für ihre jeweiligen Modelle. Besonders im Fokus der Untersuchung stand die Frage, ob Software sicherer ist, wenn ihre Quellen geheim gehalten werden oder ob nicht im Gegenteil offener Quellcode die Sicherheit fördert.

Der Goldstandard verbindet das Beste aus zwei Welten

Die Bonner Studie kommt nun zu dem Ergebnis, dass Open-Source-Software zunehmend an Bedeutung gewinnt und proprietäre Software immer häufiger Open-Source-Code enthält. Dadurch wird eine klare Trennung der beiden Sphären zunehmend erschwert. Die Studie stellt darum Methoden vor, die sich auf den Entwicklungsprozess und die allgemeine Qualität beziehen und gleichermaßen auf Open-Source- und proprietäre Software angewendet werden können. Vorbildliche Praktiken für sichere Softwareentwicklung und Qualitätsmetriken sind bei Open-Source unabhängig, transparent und nachvollziehbar prüfbar.

«Quelloffenheit und kollaborative Entwicklungsmodelle helfen Software sicherer zu machen. Das alleine reicht natürlich nicht aus. Mit unserer Studie wollen wir Impulse setzen, diese Lücke zu schließen. Besonders die kommerziellen Verwerter von Software sind hier in der Pflicht,» sagt Elmar Geese, Sprecher der Arbeitsgruppe Security in der OSB Alliance.

Die Studie ergab, dass Open Source Software besonders in den Kategorien Kosten, Transparenz und Sicherheit punktet, während proprietäre Software mit umfassendem Support und rechtlicher Klarheit durch Verträge überzeugt. Die Studie empfiehlt als Brücke zwischen beiden Welten kommerzielle Open-Source-Software, die von Open-Source-Unternehmen vorangetrieben und vermarktet wird.

Versachlichung einer von Baugefühl geprägten Debatte

Prof. Dr. Michael Meier, in dessen Arbeitsgruppe an der Universität Bonn die Studie entstanden ist, sagt: «Das Thema Open Source vs. proprietäre Software ist stark emotional besetzt, die Frage nach Sicherheitsaspekten war bislang durch Bauchgefühl, Vorurteile und Vermutungen geprägt. Das hat uns dazu inspiriert, das Thema sachlich und wissenschaftlich aufzuarbeiten.» Das Mittel der Wahl dafür war eine sogenannte Metastudie. Dr. Ohm erklärt: «Wir haben zunächst beide Ansätze grundlegend verglichen, um Unterschiede, Gemeinsamkeiten und Synergien festzustellen. Dann folgen Empfehlungen für eine sichere Softwareentwicklung und abschließend Metriken zur Beschreibung von Softwarequalität.»

Impulse für einen besseren Entwicklungsprozess

Die OSB Alliance ist ein Verband von IT-Unternehmen und Organisationen, die sich für den Einsatz von Open-Source-Software einsetzen und deren Interessen in Politik, Wirtschaft und Gesellschaft vertreten. Sie fördert den Einsatz offener und interoperabler Lösungen in Unternehmen und der öffentlichen Verwaltung.

Peter Ganten, Vorstandsvorsitzender der OSB Alliance, sagt: «Die Studie zeigt klar den Goldstandard: Der Entwicklungsprozess und die Qualität von Open-Source-Software sind transparent und unabhängig überprüfbar. Zusammen mit professionellem Support erhalten Anwender das bestmögliche Ergebnis an Sicherheit und vermeiden die Abhängigkeit von einzelnen Anbietern.»

Die Studie erhielt auch Zustimmung von Vertretern aus der Industrie. Silke Tessmann-Storch, Vorständin Lösungen bei Dataport, sagt: «Die Studie räumt mit Vorurteilen über sichere Softwareentwicklung auf und nennt konkrete Kriterien für deren Beurteilung. Das trägt zur Versachlichung der Diskussion um den Einsatz von proprietärer versus Open-Source-Software bei.»

Timo Levi von der Deutschen Telekom AG betont: «Open Source Software und Sicherheit sind keine Gegenpole – das zeigt diese Studie einmal mehr. Wichtig ist, dass Partner ihre Aufgaben ordentlich wahrnehmen. Kunden können sich so auch vollständig auf Open Source Software verlassen.»