Warum Open Source?

Veröffentlicht am: 2022-06-24
Dieser Blogeintrag wurde 120 mal gelesen

Dank an rocket.chat für die inhaltliche Unterstützung.

Amerikanischen Ermittlungsbehörden überwachen das WeltWeite Web und die mit ihnen kooperierenden Hard-, Softwarehersteller und Internetprovider stellen ihnen die dafür notwendigen Technologien zur Verfügung. Diese Überwachung ist legal, weil diese Firmen amerikanischem Recht unterstehen (s. Warum ISM? Teil B). Ihre Maßnahmen der Cybersecurity sind eine Reaktion auf die zunehmende Cyberkriminalität und -spionage. Es lässt sich nicht vermeiden, dass die USA so direkt in den Hoheitsbereich anderer Staaten hineinwirkt, wenn es für die Sicherheit des Web notwendig ist.

Dieser Zugriff auf das Web schließt ein, dass Staaten von den USA überwacht werden, wenn in ihrem Land Cyberkriminalität oder -spionage verübt wird.  Ein Beispiel ist der 2018 erlassene US-Cloud-Act, der US-Regierungsbehörden ermächtigt, von allen dem US-Recht unterliegenden Unternehmen Zugang zu Kundendaten zu verlangen, unabhängig vom Standort ihrer Server. Diese Überwachung des Web ist ein kontinuierlicher Prozess und erzeugt bei anderen Staaten den Wunsch sich davor zu schützen.

On-Premise-Lösungen im Publik-Sektor

Der Beauftragte für Datenschutz und Informationsfreiheit findet es bedenklich, wenn Schulen Cloud-basierte Software von Microsoft, Google und Apple verwenden. Aufgrund der gleichen Datenschutzbedenken hat die französische Regierung Microsoft 365-Produkte für den internen Gebrauch verboten. Als Microsoft Skype for Business abkündigte, war das Hauptproblem für die Einhaltung der DSGVO in öffentlichen Einrichtungen, dass sie Videokonferenzen nicht mehr vor Ort hosten konnten.

Die Bsp. zeigen, dass öffentliche Einrichtungen ihre Daten vor ungewolltem Zugriff schützen wollen. Die EU sucht mit Projekten wie dem General Data Protection Regulation (GDPR) nach Wegen, den US-Zugriff auf die in Europa generierten Daten zu erschweren. Darüber hinaus nehmen, mit dem scheinbar unaufhaltsamen Anstieg von Cyberangriffen weltweit, Forderungen an die europäischen Regierungen zu, die Daten ihrer Bürger zu schützen.

Daher ist es nicht verwunderlich, dass sich öffentliche Einrichtungen für On-Premise-Software interessieren, da durch Cloud-basierte Softwarelösungen vor Ort das Problem gar nicht erst entsteht.

On-Premise-Hosting im Publik-Sektor

Die Softwareanforderungen der öffentlichen Verwaltung lässt sich in drei Säulen zusammenfassen: Datenschutz, Informationssicherheit und Datensouveränität. Mangelnde Transparenz, Integrität und Vertraulichkeit von Informationen führt zu Datenmissbrauchs. Der beste Weg ihn zu vermeiden, besteht darin, sie vollständig unter eigener Kontrolle zu haben.

Öffentliche Verwaltungen speichern, übertragen und verarbeiten besonders sensible Informationen. Um sich dabei DSGVO-konform zu verhalten, befürworten immer mehr von ihnen On-Premise-Hosting, die als Vor-Ort-Lösungen ein Höchstmaß an Datenschutz, Informationssicherheit und Datensouveränität gewährleisten. Diese Art des Hosting gibt ihnen ein hohes Maß an Kontrolle über zu schützende Daten, weil sie ihre eigene IT-Infrastruktur nie verlassen.

Open Source im Publik-Sektor

Die EU sucht mit Projekten wie der „Open-Source-Strategie“ nach Wegen, den Zugriff von amerikanischen Sicherheitsbehörden auf die in Europa verwendete Software zu erschweren. 2014 veröffentlichte die Europäische Kommission ihre erste übergreifende Digitalstrategie. Ziel ist, die digitale Autonomie Europas voranzutreiben. Will man die Backkdoors der US-Sicherheitsbehörden finden oder aus seinen IT-Systemen fernhalten, muss ihr Code offenliegen. Die Open-Source-Strategie 2020-2023 beschreibt diesen und andere Vorteile von Open-Source-Technologien:  Die Kernprinzipien der Strategie sind Transparenz, Datenschutz, Informationssicherheit, Partizipation und Zusammenarbeit.

Open-Source-Software sind diverse IT-Service, deren Quellcode in Repositorys verfügbar ist. Für Organisationen und Betriebe des öffentlichen Bereichs ist diese Transparenz wichtig, um zu wissen, was in der von ihnen verwendeten Software versteckt ist. Mit Open-Source-Software können sie transparent sehen, ob Informationen entsprechend EU-Datenschutz verarbeitet werden und wenn nicht, den Code entsprechend der GDPR-Kriterien ändern.

Die meisten öffentlichen Einrichtungen sind sich der Schäden bewusst, die eine Beeinträchtigung der Informationssicherheit mit sich bringt (s. Warum ISM? Teil A). Open-Source-Projekte verringern jene, weil viele unabhängige Augen den Code prüfen und Backdoors und Spionagesoftware bei transparenter Zusammenarbeit auffallen. Jedem, der so etwas entdeckt, steht es nach den Prinzipien von Open-Source-Software (vgl.  Grundsätze der Open Source) frei, so einen Schadcode zu entfernen. Diese Möglichkeit, an der Verbesserung des Quellcodes teilzuhaben, gibt es bei der Verwendung von proprietärer Software nicht. Sicherheitslücken können nur entdeckt werden, wenn amerikanische Hersteller und Sicherheitsbehörden mitwirken.

On-Premise und Open Source: die sichere Kombination

Open-Source-Software hat wesentliche Vorteile für öffentliche Einrichtungen. Die Kombination von On-Premise und Open Source erfüllt die wesentlichen Kriterien der DSGVO: Transparenz und Informationssicherheit und hilft Sicherheitslücken zu finden und zu schließen.

Zusätzliche sollte man den Vorteil schätzen lernen, den Code selbst anzupassen zu können, andere Tools zu integrieren und dabei mit anderen Teams zu kollaborieren. Für öffentliche Verwaltungen, die häufig zusammenarbeiten müssen, aber nicht dieselben IT-Lösungen verwenden, ist diese Interoperabilität wichtig. Sie ermöglicht Open-Source-Teams bei Schnittstellen für verschiedene Behörden nahtlos zusammenzuarbeiten.