Ist die IT-Umgebung sicher?

OSS galt verglichen mit kommerzieller Software lange Zeit als sicherer: Weil viele Entwickler ein Auge auf Sicherheitslücken haben, wurden Probleme schneller erkannt und behoben. Das Prinzip des offenen Sourcecodes hat die Basis für die kollaborative Weiterentwicklung der Software innerhalb der Community geschaffen. Auf diese Weise konnte Linux über die Jahre von einer Nischenlösung zu einem Betriebssystem reifen, das mittlerweile in fast allen IT-Anwendungsbereichen (vom einfachen Web-Server zum Highscale-Computing) zum Einsatz kommt.

Mit zunehmender Attraktivität der quelloffenen Software zeigt sich aber auch die Kehrseite der Medaille. Der offene Sourcecode macht es potenziellen Eindringlingen leichter, Software zu knacken, da auch die Schwachstellen öffentlich sind. Problematisch ist zudem, dass in professionell vertriebenen Linux-Distributionen Haftung, Service und Support hinfällig sind, wenn Anwender selbst die Software und den Kernel anpassen, um aktuelle Security-Löcher zu stopfen. Letztlich muss sich ein Anwender mit Supportvertrag doch auf das Sicherheits-Management seines Anbieters verlassen.

Eine OSS-Lösung ohne Supportvertrag im produktiven Betrieb benötigt eine eigene IT-Mannschaft mit entsprechende Erfahrungen und Kompetenzen, die sicherheitsrelevante Updates schnell einspielen kann. Die Suche nach Patches und die unterschiedlichen Release-Zyklen von Open-Source-Software können viel Zeit kosten, insbesondere wenn Unternehmen viele OSS-Lösungen im Einsatz haben. Hier sind Anwender kommerzieller Software im Vorteil, da die Anbieter häufig die Sicherheit mehrerer Komponenten zentral verwalten und zum Teil automatisiert haben.