Ingo Ruhmann 
 

IT-Sicherheit in Open Source-Systemen wird - besonders gern am Beispiel kryptographischer Komponenten - beschrieben als die Abkehr von der herkömmlichen Sicherheitsauffassung einer security by obscurity, bei der zwar Sicherheit nicht überprüfbar, aber deren Vorhandensein immerhin überprüfbar ist. In der Realität beginnt die Auseinandersetzung aber oft schon damit, Nutzern klarzumachen, daß gar keine Sicherheitsfeatures vorhanden sind - security by neglect. Open Source stellt dem eine Politik der security by transparency entgegen, die es jedem ermöglichen soll, die Sicherheit eines Systems selbst zu überprüfen.

Die Motive dahinter sind nicht neu. Als Gutenberg den Buchdruck erfand, beendete er das damalige Wissensmonopol der Kirche. Die Aufklärung und in ihrer Folge die rationale Wissenschaft definierte als Maß wissenschaftlicher Korrektheit die Überprüfbarkeit von Ergebnissen, um diese zu bestätigen oder zu falsifizieren. Voraussetzung dafür ist die Offenlegung, wie diese Ergebnisse erzielt wurden, um jedem eine Prüfung zu erlauben.

Die hohe Bedeutung von IT-Systemen in dieser Gesellschaft macht es heute erforderlich, die Hoheit über das Wissen um IT-Sicherheit in Systemen auf eine breitere Basis zustellen. Offenheit und Überprüfbarkeit sind auch dafür die Voraussetzung. Nicht alle werden dafür imstande sein müssen, IT-Sicherheitsmechanismen "lesen" zu können. Deshalb wächst das Bedürfnis, vertrauenswürdige und von den Herstellern unabhängige Experten mit der Prüfung der IT-Sicherheitsmechanismen zu betrauen.

Security by transparency wird sich daher als ein Schritt zur Etablierung von vertrauenswürdigen Sicherheitsinstanzen darstellen, die aus dem Dreischritt einer security by transparency, evaluation, and trust entstehen werden.

Die Frage nach der IT-Sicherheit stellt sich also nicht als Auseinandersetzung zweier dichotomer Modelle dar, sondern als Schritt zu einer sehr vielschichtigen Entwicklung. Diese ist nötig, um den sicheren Einsatz von IT-Systemen für die Zukunft zu gewährleisten.