Vor einiger Zeit hatte ich mal diesen Artikel veröffentlich, den ich aber auch hier noch mal wiederholen möchte:

Letztes Wochenende war ich nach längerer Zeit mal wieder auf der FrOSCon (Free Open Source Convention) in St. Augustin. Grob gesagt ist das eine Messe mit Vorträgen und Workshops zum Thema Open-Source-Software und Programmierung und halt auch immer ein traditioneller Tummelplatz für Hacker aller Art. In seiner Allgemeinheit passt es nicht unbedingt zum Thema dieses Blogs, bis auf den einen Themenschwerpunkt der Sicherheitstechnik, der dann irgendwie doch wieder den Kreis schließt. Dieser Punkt setzt sich eben explizit damit auseinander, wie Netzwerk- und Gebäudesicherheit mit Open Source Software zu realisieren ist.

Dazu aber vielleicht erst mal ein paar Worte zu Open-Source-Software im Allgemeinen. Open Source heißt, dass der Quellcode, die “Blaupause”, eines Programmes öffentlich zugänglich ist und sie jeder benutzen und ggf. auch modifizieren kann. Das hat den Vorteil, dass viele daran mitentwickeln können und den Nachteil, dass man eben nur schwer Geld damit verdienen kann, weil es nicht wirklich Lizenzen zu verkaufen gibt.

Was hat das Ganze jetzt mit Strahlenschutz und emotionaler Kommunikation zu tun? Ganz einfach! Das Zauberwort heißt Transparenz.

Wenn ich ein Netzwerk mit Open-Source-Software betreibe, dann lasse ich mir als Admin quasi in die Karten gucken. Die Welt dort draußen (und damit natürlich auch potentielle Angreifer) wissen, was ich für ein Verteidigungssystem habe und zu was dieses generell in der Lage ist. Sowohl Betreiber als auch potentielle Angreifer, müssen keine teure “customized” Soft- und Hardware benutzen, um Zugriff zu erlangen und es zu benutzen.

Das wäre so, als würde im Strahlenschutz die Bundesbehörde hingehen und die Fahrtrouten aller Castor-Transporte veröffentlichen.

Ist das nicht Wahnsinn?

Nein, nicht unbedingt! Zumindest beim Thema Open-Source-Sicherheitssoftware funktioniert das ganze sogar ziemlich gut. Um bei der Kartenspiel-Analogie zu bleiben: “Man kann ruhig mit offenen Karten spielen, solange das Blatt hinreichend gut ist.”

Sprich, wenn man weiß, was man tut, dann kann man ruhig transparent sein und profitiert dann im Allgemeinen sogar noch davon, da die “Öffentlichkeit” konstruktiv an Problemen mitarbeiten kann und idR. auch will. In Hackerkreisen steckt da eine Philosophie und Ethik hinter, auf die ich ich hier noch nicht mal ansatzweise eingehen kann und will. Wen es interessiert, der mag sich über den Wikipedia-Artikel zu Open Source an den Links weiterhangeln.

Ich will hier aber behaupten, dass wir als Strahlenschutzbeauftragte vom Open-Source-Ansatz lernen können. Ein großer Kritikpunkt von Atomkraftgegnern, Atomgegnern, Behörden, Politikern und der Presse ist immer, dass ”hinter verschlossenen Türen” gemauschelt wird. Daher gehen viele Forschungseinrichtungen heutzutage dazu über, möglichst viele Pressemitteilungen zu veröffentlichen. Aber das ist erstmal “nur” Transparenz. Zu Open Source gehört darüber hinaus die Veröffentlichung des Quellcodes (Analog wären das hier z.B. Messwerte, Rohdaten von Messtationen etc. pp.) und die Möglichkeit für die Öffentlichkeit, daran zu partizipieren. Ich bin mir sicher, dass dies in vielen Fällen sehr hilfreich sein würde und die Angst vorm schwarzen Mann ein wenig bekämpfen kann.

Kommentare (6)

  1. #1 felix
    13. April 2015

    Interessanter Ansatz, nur muss man aufpassen dass man sich damit nicht die gleichen Probleme wie mit OpenSource einhandelt.

    Beliebt is ja das Abschieben von Verantwortung (und Kosten): Ich gebe den code jetzt als Open Source frei, die “community” wird sich schon darum kuemmern. Tut sie das nicht (oder hat ein Entwickler mal keine Lust mehr), dann schaut der Endanwender trotzdem in die Roehre (und kritische Sicherheitsloecher bleiben evtl. offen und ungestopft).

    Analog: Ich veroeffentliche die Messwerte mal, macht weniger Arbeit, irgendwer wird sie schon auswerten ..

  2. #2 Dr. Peter Köhler
    Konstanz
    13. April 2015

    Bin absolut dafür. Die Daten des BfS-Meßnetzes sind ja schon lange öffentlich (https://odlinfo.bfs.de/). Das könnte man den Betreibern von Strahlungsquellen auch vorschreiben.

    Allerdings kann man davon ausgehen, dass wie nach der Fukushima-Katastrophe solche Seiten im Ernstfall vom Netz genommen werden, oder durch Überlastung offline gehen.

  3. #3 Tobias Cronert
    13. April 2015

    @felix: Die Gesetzgebung und die Nachweispflichten würden sich ja durch einen OpenSource Ansatz erstmal nicht ändern, Auf lange Sicht sehe ich das aber auch deutlich als Nachteil. Sprich falls man die Leute nicht dazu zwingt, dann schllägt der Schweinehund zu.

    @Dr. Peter Köhler: Durch Überlastung offline gehen kann man verhindern. Beim “Vom Netz nehmen” würde sich dann zeigen ob die Betreiber es wirklich erst meinen, oder eben nur in “Friedenszeiten” beruhigen wollen. Ein vernüntiges System würde sich ja natürlich aus verschiedenen Quellen speisen. Falls also eine Art von Quelle (aus welchem Grund auch immer) ausfällt, würden die anderen immer noch übernehmen können und zumindest etwas an Informationen liefern.

  4. #4 wiener
    15. Mai 2015

    Open source waere auch bei Sicherheitsberechnungen fuer Endlager gut. Das sind oft speziell entwickelte Modelle. 20 Jahre spaeter versteht niemand mehr den Quellcode….

  5. #5 Andersen
    https://andersenlab.de/
    24. März 2023

    Dieser Artikel gibt einen faszinierenden Überblick über Open-Source-Softwareprogramme und ihre Vor- und Nachteile. Wie der Autor hervorhebt, ist ein Hauptvorteil von Open-Source-Software die Transparenz- der Quellcode ist für jeden einsehbar und veränderbar. Dies ermöglicht es vielen Entwicklern, die Software zu verbessern, führt aber auch dazu, dass mögliche Angreifer die Funktionsweise des Systems kennen und wissen, wie sie es infiltrieren können.
    Für ein IT-Unternehmen sollten Open-Source-Softwareprogramme aufgrund der geringen Kosten und der Möglichkeit, den Code zu personalisieren, attraktiv sein. Das Unternehmen sollte sich jedoch der Schutzrisiken bewusst sein, die mit Open Supply einhergehen und mehr Vorsichtsmaßnahmen ergreifen, um seine Systeme dichtzumachen.

    Mit den geeigneten Sicherheitsmaßnahmen sollte Open-Source-Software eine gute Alternative für IT-Unternehmen sein, die es zu erforschen gilt, aber das Unternehmen muss sich mit offenen Augen über die Vor- und Nachteile informieren. Insgesamt bietet dieser Artikel eine ausgewogene und aufschlussreiche Sicht auf ein Open-Source-Software-Programm, das wertvoll für jedes IT-Unternehmen zu prüfen wäre.

  6. #6 Andersen
    24. März 2023

    Wie in dem Artikel angedeutet wird, kann die Transparenz, die Open-Source-Software bietet, außerdem auf potenzielle Angreifer abschreckend wirken. Da die Verteidigungsmaßnahmen eines Netzwerks offenkundig sind, können die Kosten für Cyberkriminelle in Bezug auf Zeit und Ressourcen, die zur Umgehung dieser Schutzmaßnahmen erforderlich sind, erheblich höher sein.
    Insgesamt sollten Andersen und andere Unternehmen die Vorteile des Einsatzes von Open-Source-Software für ihre Sicherheitsanforderungen sorgfältig abwägen, insbesondere in kritischen Bereichen wie dem Strahlenschutz. Auf diese Weise können sie zu einem sichereren und transparenteren digitalen Ökosystem beitragen, von dem letztlich alle Beteiligten profitieren.