Niedrigere Anschaffungskosten, höhere Sicherheit und kürzere Reaktionszeiten beim Bekanntwerden von Fehlern - das sind die häufig zitierten Argumente für den Einsatz von Open-Source-Software. In Summe soll dies zu günstigeren Gesamtkosten im Vergleich zu proprietären "Closed-Source"-Produkten führen. Obwohl Befürworter nichtöffentlicher Quellcodes jedes dieser Argumente angreifen werden, liegt der Anteil Linux- oder Unix-basierender Sicherheitsprodukte im Unternehmensbereich mittlerweile bei geschätzten 70 bis 90 Prozent. Wer die Vorteile und damit auch die Einsparpotenziale dieser Security-Lösungen verstehen will, muss sich zunächst die Gründe für die Wahl von Linux als Basis für Sicherheitsprodukte vor Augen führen.

Niedrigere Anschaffungskosten

Allein durch die Tatsache, dass Open-Source-Betriebssysteme wie Linux, OpenBSD oder FreeBSD kostenlos verfügbar sind, sparen sowohl Kunden als auch Hersteller von darauf basierenden Sicherheitsprodukten viel Geld: Zum einen müssen sie - anders als bei Windows-gestützten Lösungen - keine Lizenzen für das Betriebssystem entrichten. Zudem bringen die Open-Source-Systeme bereits zahlreiche sicherheitsrelevante Funktionen mit, die auf anderen Plattformen eigens entwickelt oder "hinzulizenziert" werden müssen. Hierzu zählt etwa eine rollenbasierende Sicherheitsarchitektur wie das "RSBAC"-Framework (Rule Set Based Access Control) für alle jetzigen Linux-Kernel. Ein weiteres Beispiel sind die "SELinux"-Erweiterungen (Security-enhanced Linux) für den Linux-Kernel, die von der Information Assurance Research Group der National Security Agency (NSA) entwickelt werden und ebenfalls unter der GNU General Public Licence (GPL) stehen.

Alternativ könnten Sicherheitsanbieter diese Funktionen auch selbst entwickeln. Doch ist es ökonomisch wenig sinnvoll, das Rad erneut zu erfinden und Entwicklungsressourcen in bereits kostenlos verfügbare Techniken zu stecken. So erfordert etwa die Integration des Paketfilters eines Linux-Systems in eine Firewall nur rund fünf Prozent des Aufwands, der für die Entwicklung dieser Funktionen notwendig wäre. Daher nutzen auch renommierte Security-Hersteller häufig Linux oder BSD-Unix als Basis für ihre Produkte.

Höhere Sicherheit

Ebenfalls heiß diskutiert wird die These, Open-Source-Produkte wie Linux seien sicherer als Closed-Source-Produkte. Hier dürften allerdings auch psychologische Aspekte eine Rolle spielen: Zwar ist Windows inzwischen vermutlich besser als sein Ruf, dennoch hatlen viele Administratoren das Microsoft-Betriebssystem und Sicherheit noch immer für einen Widerspruch in sich. Tatsache ist jedoch: Kein Produkt ist zu hundert Prozent fehlerfrei und damit absolut sicher. Allerdings ermöglicht der offene Entwicklungsprozess von Open-Source-Software mehr Transparenz und reduziert damit die Wahrscheinlichkeit von Sicherheitslücken im Programmcode. Immerhin unterliegt sie der ständigen wechselseitigen Kontrolle durch die Entwicklergemeinde.

Häufiges Gegenargument: Closed Source führe zu "Security by Obscurity", sprich: Sicherheit durch Verschleierung. Das interessiert Hacker jedoch wenig, da sie durch Black-Box-Techniken Schwachstellen in Programmen finden können und im Notfall den Binärcode einfach disassemblieren (Reverse Engineering). Durch Obscurity wird proprietärer Code aber vor allem auch denen gegenüber verschleiert, die darin Fehler finden und beheben könnten.

Wer also die Kontrolle der Öffentlichkeit scheut, muss sie mit eigenen Mitteln finanzieren und vornehmen, um ein vergleichbares Sicherheitsniveau zu erreichen. Dass hierbei kommerzielle Interessen vor dem kostspieligen Stopfen von Sicherheitslücken stehen können, ist kein Geheimnis. Einige Unternehmen verstehen Bugs in ihren Produkten sogar als Geschäftsgeheimnis. Prominentes Beispiel hierfür ist das "Ciscogate", als Internet Security Systems (ISS) und Cisco im Juli 2005 die Veröffentlichung eines Bugs in der Router-Software IOS durch Michael Lynn auf der US-Sicherheitskonferenz "Black Hat" mit allen Mitteln verhindern wollten (siehe www.computerwoche.de/564720).

Zur höheren Sicherheit von Linux-basierenden Sicherheitsprodukten trägt aber auch bei, dass Entwickler nicht benötigte Teile des Betriebssystems einfach weglassen können. So kommen dort befindliche potenzielle Schwachstellen gar nicht erst zum Tragen. Bei geschlossenen Betriebssystemen ist dies kaum oder oft nur durch den Hersteller selbst möglich.

Kürzere Reaktionszeiten

Wird etwa in einer Textverarbeitung eine Schwachstelle bekannt, so können sich die Entwickler in der Regel bis zum nächsten Service-Pack Zeit lassen, um sie zu beseitigen. Bei sicherheitsrelevanten Produkten hingegen ist Geschwindigkeit bei der Fehlerbehebung von allerhöchster Wichtigkeit.

Im Rahmen eines auf drei Jahre angelegten Projekts zur Beseitigung von Sicherheitslücken in Open-Source-Software investierte das US-Department of Homeland Security im Januar dieses Jahres 1,25 Millionen Dollar in das "Vulnerability Discovery and Remediation, Open Source Hardening Project". Nachdem das in das Projekt involvierte Unternehmen Coverity 17,5 Millionen Zeilen Quellcode der 32 beliebtesten Open-Source-Projekte geprüft hatte, errechnete es 0,434 Fehler pro 1000 Zeilen Quellcode. Nach einer Woche waren es nur noch 0,371 Defekte - das entspricht der Behebung eines Fehlers alle sechs Minuten. Ein Grund für die Schnelligkeit der Entwickler ist auch hier die Transparenz des Codes und des Entwicklungsprozesses. Closed-Source-Projekte hingegen stehen bei nach außen nicht bekannten Fehlern unter geringerem Druck - was in der Praxis zu längeren Reaktionszeiten führt.

Total Cost of Ownership (TCO)

Anhänger von Open-Source- wie auch von proprietärer Software übertrumpfen sich mit TCO-Analysen zu jeweils ihren Gunsten. Die dem jeweiligen Standpunkt angepassten Untersuchungsmethoden machen einen Vergleich schwierig. Doch während sich die Verfechter von Windows beziehungsweise Linux auf dem Desktop noch regelmäßig schwere Gefechte liefern, spielt diese Diskussion im Security-Bereich keine große Rolle. Hier greift ein Pragmatismus, der auch namhafte Sicherheitshersteller zu Linux oder einem Unix-Derivat als Basissystem greifen lässt. So befindet sich heute in den meisten Security-Appliances eine Software, die auf einem gehärteten Linux oder Unix basiert - egal ob Firewall, Intrusion Detection System (IDS) oder System Log Management. Die Anwender dieser Produkte sparen bei der Anschaffung Lizenzkosten, die für ein proprietäres Betriebssystem anfallen würden, die Hersteller wiederum Aufwendungen für die Entwicklung von Sicherheitsfunktionen, die Linux bereits mitbringt.

Ob Linux-basierende Lösungen auch im Betrieb wirtschaftlicher sind, hängt hingegen von der Arbeit der Hersteller von Sicherheitssoftware ab. Denn ein effektives Patch-Management oder die einfache Integration und Administration eines Sicherheitsprodukts kennt keine Betriebssystem-Grenzen. Einen Vorteil könnten OSS-basierende Produkte allerdings für sich verbuchen: Liegt eine Fehlfunktion nicht im Produkt, sondern im Betriebssystem, kann der Anbieter beziehungsweise die Community in der Regel schneller reagieren als der Hersteller eines proprietären OS.

Die Kosten für die eingesetzte Hardware spielen in der Praxis eine eher untergeordnete Rolle. Zwar lässt sich eine einfache Firewall unter Linux mit weniger Rechenleistung betreiben als unter Windows. Doch kommt es gerade im Sicherheitsbereich eher auf Verfügbarkeit und Zuverlässigkeit an, so dass Firmen meist im eigenen Interesse zu hochwertigen Systemen tendieren, die ihren Preis haben. (kf)