EU überprüft Sicherheit von ihr eingesetzter freier Software

Mit dem Projekt “Fossa” wird die Sicherheit von EU-Kommission und Europaparlament verwendeter freier Software geprüft. EU-Fossa (EU-Free and Open Source Software Auditing) geht beeits auf den Januar 2015 zurück. Es wurde damals von der deutschen Piratenpolitikerin Julia Reda und dem schwedischen Grünen-Politiker Max Andersson angestoßen. Beide sind Abgeordnete des Europäischen Parlaments. Ziel des Projekts ist es, die Sicherheit freier Software zu verbessern und zu zeigen, dass Sicherheit und Freiheit sich nicht ausschließen.

In den kommenden Wochen werden zunächt Apache HTTP Server und der Passwortmanager KeePass einem Sicherheits-Audit unterzogen. Sie wurden durch eine Umfrage ausgewählt. Bei ihr ging es insbesondere darum, wie häufig die Software innerhalb und außerhalb der EU-Institutionen genutzt wird und welche Rolle sie für die Institutionen und ihre Nutzer spielt. Zur Wahl standen dabei auch OpenSSL, Linux, Firefox, VLC Media Player, MySQL und Drupal. Die Umfrageteilnehmer sprachen sich jedeoch mit großem Abstand für KeePass (23,1 Prozent) und Apache HTTP Server (18,7 Prozent) aus.

“Meiner Meinung nach sollte die Regierung stark zur Nutzung und Unterstützung von Open-Source-Software neigen”, argumentiert Piratenpolitikern Reda. “Ihr Staat solle keinen Code einsetzen, der Geheimdiensten zugänglicher ist als Ihnen. Jede Software, für die eine Regierung bezahlt, solle Open Source sein: Durch ihre Handlungen sollte die Regierung das Gemeinwohl bereichern und nicht ein bestimmtes Unternehmen.”

An der Auditierung ist neben den IT-Abteilungen des Europaparlaments sowie der Europäischen Kommission auch die Madrider Beratungsfirma Everis beteiligt. Daran gibt es inzwischen Kritik aus der Open-Source-Community. “Sie hatten kein gutes Wissen über freie Software, als sie begannen”, bemängelt etwa Matthias Kirschner, Präsident der Free Software Foundation Europe (FSFE). “Und obwohl wir sie mit vielen Informationen versorgt haben, hat sich daran nichts geändert, wie aus den Ergebnissen zu ersehen ist. Es gab wenig Kommunikation über das Projekt bis zur kürzlichen Veröffentlichung von über 550 Seiten und einer Umfrage zu den Programmen, die auditiert werden sollen.”

Die Veröffentlichung von 550 Seiten nach fast einem Jahr Stillschweigen habe “wirklichen Experten” keine Gelegenheit gegeben, auf Missverständnisse und systemische Fehler hinzuweisen. “Sollte das Projekt wie bisher weiterlaufen, fürchte ich, dass die europäischen Institutionen einen großen Teil des Budgets von 1 Million Euro ohne positive Auswirkung auf die Sicherheit von freier Software ausgeben werden”, warnt der FSFE-Chef.

Erst kürzlich hatte Bulgarien per Gesetzesänderung festgelegt, dass für Behörden entwickelte Software quelloffen sein muss. Außerdem muss die Entwicklung in einem öffentlichen Repository stattfinden. Das Gesetz gilt für spezifische Software, die von Regierungsbehörden in Auftrag gegeben wird. Vorhandene Lösungen werden davon nicht erfasst.

[mit Material von Bernd Kling, ZDNet.de]