Hat ja nicht lange gedauert, bis die ersten gegen Open Source Stimmung machen. Wegen der OpenSSL Sache natürlich. Wer sich das mal ansehen will: Patrick Beuth hat auf “Die Zeit” einen Kommentar veröffentlicht, in dem er seinem Unmut über Open Source Ausdruck verleiht.
“Die unbequeme Wahrheit über Open Source” ist die Überschrift zu seinem kurzen Artikel. Und was ist die Wahrheit? Oder besser, was ist die Lüge? Die Lüge ist seiner Meinung nach das:
“Dieses Heilsversprechen lautet: Open Source ist immer besser als proprietär.”
Ja, natürlich ist das eine Lüge. Man kann nicht sagen: Quelloffene Software ist immer besser als Closed Source Software. Doch genau auf dieser Aussage – von der wir nicht erfahren, woher er sie hat – baut Patrick Beuth seine Argumentation auf. “Open Source ist immer besser als proprietär” – diese Aussage legt er Open Source Verfechtern wie mir also in den Mund.
(Nachtrag: Was ist eigentlich “besser”?)
Nein, so einfach ist es leider nicht. Ich würde etwas anderes behaupten: Open Source Software gibt dem Nutzer wieder ein Stück Kontrolle zurück. Daraus kann erhöhte Sicherheit resultieren – muss aber nicht. Wie Sebastian Nerz in seinem Blog zu dem Thema schreibt:
“Open Source ist nicht fehlerfrei. Sie hat das Potential besser zu sein als Closed Source – weil Reviews einfacher möglich sind, weil Tester sich einfach eine Kopie ziehen und evaluieren können (ich habe schon Sicherheitsfehler in Open Source gesucht und gefunden und ich konnte es NUR deshalb, weil es Open Source war). Aber sie ist es nicht notwendigerweise. Auch Open Source Software hat Fehler.”
Zudem fehlt in der Debatte wieder einmal die Unterscheidung zwischen Open Source Software und freier Software.
Der Autor des “Die Zeit”-Artikels trifft keine Unterscheidung und setzt “Open Source” gleich mit Projekten, die fast ausschließlich von Freiwilligen neben dem eigentlichen Beruf am laufen gehalten werden. Dass aber auch große Firmen wie Google ihre Software zum Teil unter einer Open Source Lizenz veröffentlichen – so z.B. Android – lässt er unter den Tisch fallen. Von Google würde ich nicht behaupten, sie würden unter chronischer Unterfinanzierung leiden ;)
An dieser Stelle würde ich noch gerne an Closed Source Software wie Adobe Flash, Adobe PDF Reader, Oracle Java, Microsoft Windows und den IE erinnern. Nein, die hatten tatsächlich noch nie schwerwiegende Sicherheitsprobleme. (Ha! Das kommt ja wie gerufen: Oracle will über 30 Lücken in Java schließen)
Sich Open Source Software zu ziehen und dann mit der Erwartung “die ist immer sicher – ich brauche keine Security Updates” daher zu kommen, ist aber auch falsch.