Ethon, deutscher Anbieter von IT-Sicherheitslösungen und Dienstleister im Bereich Informationssicherheit, empfiehlt den Einsatz offener Lösungen für die IT-Sicherheit. Dabei dürfen „quelloffene“ Lösungen aber nicht mit Open Source verwechselt werden.
Immer wieder werden IT-Sicherheitslösungen vorgeschlagen, die nicht auf offenen Standards mit einsehbarem Code beruhen, sondern auf proprietären Technologien. Als Argument wird dabei meist vorgebracht, dass eine Lösung umso sicherer sei, je weniger über sie bekannt ist („Security by Obscurity“). Ethon, deutscher Anbieter von IT-Sicherheitslösungen und Dienstleister im Bereich Informationssicherheit, warnt vor dieser Fehleinschätzung.
„Das Hauptargument für die Verwendung offener Standards ist, dass es nur hier möglich ist, die Leistungsfähigkeit und die Wirksamkeit einer Lösung zu beurteilen“, erklärt Dr. Jochen Haller, Geschäftsführer der Ethon GmbH in Ulm. „Kein Anwender, aber auch kein neutraler Gutachter kann ein Verschlüsselungssystem bewerten, von dem er nicht den Code kennt. Sicherheitssysteme müssen die Sicherheit durch die Qualität ihrer Logik herstellen, nicht durch das Verschleiern ihrer Funktionsweise. Ohne offenen Code kann eine Sicherheitslösung ebenso gut ein bloßer Fake sein.“
Grundsätzlich gilt: Algorithmus und Code müssen jederzeit überprüfbar sein – die Sicherheit muss aus dem verwendeten Schlüssel kommen: „Geheimniskrämerei ist etwas anderes als Sicherheit“, so Dr. Haller weiter.
Dabei dürfen offene Standards nicht mit Open Source verwechselt werden. Open Source ist ein Modell der Softwareentwicklung und -nutzung. Bei offenen Standards – im Sinne von „quelloffen“ – sind nicht nur die wichtigsten Spezifikationen, sondern alle Bestandteile des Quellcodes öffentlich einsehbar. Dennoch können für die Nutzung Lizenzgebühren anfallen.
-
Über die Nachprüfbarkeit hinaus bieten offene Standards Anwendern weitere Vorteile:
- Interoperabilität: bei offenen Systemen kann man verschiedene Hersteller verbinden;
- Flexibilität: Anwender sind nicht von einem Anbieter abhängig;
- Zukunftsfähigkeit: Systeme können leichter weiterentwickelt werden, auch unabhängig vom Hersteller;
- Besserer Support: da mehr Entwickler an offenen Systemen arbeiten, erhalten Anwender besseren Support;
- Geringere TCO (Total Cost of Ownership): höhere Interoperabilität und Flexibilität senken die Hardwarekosten.