Nachrichten

Der Fall Huawei zeigt Bedeutung Freier Software für Sicherheit

am:

Die Diskussion über die Sicherheitsbedenken bei Huawei offenbart ein allgemeines Vertrauensproblem bei kritischen Infrastrukturen. Ein erster Schritt zur Lösung dieses Problems ist es, den Code unter einer Freie- und Open-Source-Software-Lizenz zu veröffentlichen und Maßnahmen zum unabhängig überprüfbaren Einsatz zu ergreifen.

Die laufende Debatte über das Verbot von Huawei-Hardware für den 5G-Netzausbau, verursacht durch Vorwürfe der staatlichen Spionage, greift zu kurz. Es geht nicht nur um das chinesische Unternehmen, sondern um einen allgemeinen Mangel an Transparenz in diesem Bereich. Wie frühere Vorfälle bewiesen haben, ist das Problem von Hintertüren in undurchsichtiger Hard- und Software weit verbreitet, unabhängig von der Herkunft der Hersteller.

Ein digitales Gebäude verbietet die Inspektion seines Codes. Eine Metapher für Software-Blackboxen.

Das Neuartige an diesem Fall ist jedoch, dass die Forderung nach der Überprüfung des Geräte-Quellcodes eines Herstellers so umfassend und intensiv diskutiert wird. Die Free Software Foundation Europe (FSFE) begrüßt, dass die Wichtigkeit von Quellcode anerkannt wird, befürchtet aber, dass die vorgeschlagene Lösung zu kurz greift. Die Überprüfung des geheimes Codes durch ausgewählte Behörden und Telefongesellschaften zuzulassen, mag unter Umständen in diesem speziellen Fall helfen, wird aber das generelle Problem nicht lösen.

Um Vertrauen in kritische Infrastrukturen wie 5G zu schaffen, ist es eine entscheidende Voraussetzung, dass der gesamte Softwarecode, der diese Geräte steuert, unter einer Freie und Open Source Software-Lizenz veröffentlicht wird. Freie- und Open-Source-Software garantiert die vier Freiheiten, ein Programm zu verwenden, zu verstehen, zu verbreiten und zu verbessern. Auf dieser Basis kann der Code von allen untersucht werden, nicht nur hinsichtlich Hintertüren, sondern auch weiterer Sicherheitsrisiken. Nur diese Freiheiten ermöglichen unabhängige und kontinuierliche Sicherheitsaudits, die Vertrauen von Bürgern, Wirtschaft und dem öffentlichen Sektor in Kommunikation und Datenaustausch schaffen.

Darüber hinaus ist die Überprüfung der Code-Integrität elementar, um festzustellen, ob der vom Hersteller bereitgestellte Quellcode dem auf dem Gerät laufenden ausführbaren Programm enspricht. Dazu ist es entweder notwendig, dass im Falle einer Nutzung von Binärdateien Build-Reproduzierbarkeit vorhanden ist, oder dass Anbieter in die Lage versetzt werden, den Code selbst zu kompilieren und zu verteilen.

"Wir sollten nicht nur den Fall Huawei diskutieren, sondern die Debatte auf alle kritischen Infrastrukturen ausweiten", sagt Max Mehl, FSFE-Programmmanager. "Nur mit Freier und Open Source Software kann Transparenz und Nachweisbarkeit garantiert werden. Das ist eine seit langem bekannte entscheidende Voraussetzung für Sicherheit und Vertrauen. Wir erwarten von staatlichen Akteuren, dass sie diese Lösung nicht nur für den Fall Huawei, sondern für alle vergleichbaren IT-Sicherheitsfragen umgehend realisieren."