Abo
  • IT-Karriere:

Pilotprojekt: EU will Open Source sicherer machen

Eine Million Euro investiert die EU im Rahmen eines Pilotprojekts in Code-Audits für Keepass und Apache. Dadurch sollen etwaige Sicherheitslücken gefunden und gestopft werden. Aus der FOSS-Community gibt es aber Kritik an der Firma, die die Audits durchführen soll.

Artikel veröffentlicht am ,
Hauptgebäude der EU-Kommission in Brüssel
Hauptgebäude der EU-Kommission in Brüssel (Bild: Wikimedia/CC-BY-SA 3.0)

Der freie Passwort-Manager Keepass und der weit verbreitete Apache-Webserver sind die Gewinner einer Umfrage, die die EU-Kommission zwischen dem 17. Juni und 8. Juli auf ihrer Webseite durchgeführt hatte. Darin wurden rund 20 FOSS-Projekte vorgeschlagen, für die eine Sicherheitsprüfung finanziert werden könnte. In einem Freitextfeld konnten Teilnehmer weitere Projekte vorschlagen.

Keepass und Apache gewinnen mit Abstand

Stellenmarkt
  1. THD - Technische Hochschule Deggendorf, Deggendorf
  2. SCHILLER Medizintechnik GmbH, Feldkirchen

Die rund 3.282 Teilnehmer der Umfrage haben sich mehrheitlich für Keepass (23,1 Prozent) und Apache (18,7 Prozent) ausgesprochen. Etwas abgeschlagen folgte der VLC-Medienplayer (8,8 Prozent) sowie ausgewählte Komponenten des Linux-Kernels (8,6 Prozent). Die Vorauswahl der zur Abstimmung stehenden Projekte durch die EU-Kommission basierte nach eigenen Angaben vor allem darauf, wie stark die Software innerhalb und außerhalb der EU-Institutionen verwendet wird und wie kritisch die Software für die IT-Sicherheit der Betroffenen ist.

  • Das Geld geht an Beratungsfirmen: Budget des EU-Pilotprojekts über Code-Audits für FOSS-Software (Quelle: EU-Kommission)
  • Ergebnisse der EU-Umfrage zum Pilotprojekt über Code-Audits für FOSS-Software (Quelle: EU-Kommission)
Ergebnisse der EU-Umfrage zum Pilotprojekt über Code-Audits für FOSS-Software (Quelle: EU-Kommission)

Bis Oktober 2016 soll die mit der Durchführung der Audits beauftragte Firma Everis Kontakt zu den Entwicklerteams von Keepass und Apache aufnehmen. Wegen Zweifeln an der Kompetenz der in Madrid ansässigen Beratungsfirma gab es aber bereits vor der Abstimmung Kritik aus der FOSS-Community.

Deutliche Kritik aus der FOSS-Community

Anfang Juli beklagte Matthias Kirschner, Präsident der Free Software Foundation Europe, die Interviews, die Everis mit Community-Mitgliedern führte, seien "ziemlich seltsam" gewesen. "Die Fragen waren entweder auf sehr niedrigem Niveau oder sehr akademischer Natur." Weiterhin hatten sie ihm zufolge "zu Beginn kein besonderes Wissen über freie Software, und obwohl wir ihnen sehr viele Informationen geliefert haben, hat sich daran nichts geändert."

Auch Mirko Böhm vom Open Invention Network, der ebenfalls als Stakeholder von Everis interviewt wurde, kritisiert das Unternehmen offen. Die Firma habe keine Kenntnisse darüber, wie freie Software entwickelt werde und schlage daher völlig unbrauchbare Konzepte wie beispielsweise Scrum und PMBOK-basierte Methoden für die Entwicklung vor.

Everis wollte sich auf Nachfrage nicht zu den Vorwürfen äußern.

Bereits in der Vergangenheit ist die Firma mit umstrittenen Empfehlungen aufgefallen. In einer Studie warnte Everis die EU-Kommission vor "verschlüsseltem Spam" und riet davon ab, öffentliche S/MIME-Schlüssel zu veröffentlichen.

Brüssel reagiert - ein bisschen

Das Pilotprojekt geht ursprünglich auf Anträge der beiden Europaabgeordneten Julia Reda (Piraten, Deutschland) und Max Andersson (Grüne, Schweden) zurück. Beide hatten sich seit langem für eine finanzielle Unterstützung von Code-Audits durch die EU eingesetzt.

Reda, die selbst immer wieder in Kontakt mit der FOSS-Community steht, ist die Kritik gut bekannt. Zwar war sie als Abgeordnete an der Auswahl des Unternehmens durch die EU-Kommission nicht beteiligt, sie wolle aber "den Fortschritt des Code Review genau verfolgen und sicherstellen, dass die Communities um Keepass und den Apache Webserver von Anfang an einbezogen werden." Everis werde zeigen müssen, "ob sie der Aufgabe gewachsen sind, anderenfalls ist in der möglichen Fortführung sowohl eine Vergabe an einen anderen Auftragnehmer als auch der Umstieg auf ein Bounty-Programm eine Option."

Auch die EU-Kommission scheint auf die Kritik bereits zu reagieren. Das zuständige Kommissionsteam unterstrich in einem eigenen Blog-Eintrag, dass das Pilotprojekt "in einen systematischen Ansatz münden soll, mit Hilfe dessen die EU sicherstellen kann, dass weit verbreiteten Open-Source-Komponenten vertraut werden kann." Von im Projekt involvierten Quellen ist zudem zu hören, die EU-Behörde könnte Everis eventuell dazu verdonnern, sich für den Code-Review externe Unterstützung zu holen - zum Beispiel aus der FOSS-Community selbst.

Vielleicht wäre das auch schon früher möglich gewesen. Offen bleibt zum Beispiel, warum nicht zumindest ein Teil des für die Berater von Everis eingeplanten Budgets von immerhin fast einer halben Million Euro direkt an die FOSS-Projekte ausgeschüttet wird, damit deren Programmierer ihre Arbeit machen können.

Aber noch ist es dafür nicht zu spät.



Anzeige
Hardware-Angebote
  1. 64,90€ (Bestpreis!)
  2. 279,90€
  3. 99,00€

Vielfalt 27. Jul 2016

Im Grunde schaffe ich mich selbst ab, in dem ich zulasse, dass die EU mit meinen...

McAfee... 26. Jul 2016

...und genau das passiert mit diesem Projekt :)

Pwnie2012 26. Jul 2016

Ich sehe eher den Mangel an Plugins bei KeePassX als ein Problem. Bei KeePass2 habe ich...

Wallbreaker 26. Jul 2016

Die Leute die keine Ahnung haben, legen die Prioritäten nun mal anders aus. Unheimlich...

Kleine Schildkröte 26. Jul 2016

Eine Millionen ist ja nun nichts für kritische Infrastruktur. Eine Ausschreibung gabs...


Folgen Sie uns
       


Hallo Magenta und Alexa auf dem Smart Speaker der Telekom

Wetter, Allgemeinwissen, sächsische Aussprache - wir haben den Magenta-Assistenten gegen Alexa antreten lassen.

Hallo Magenta und Alexa auf dem Smart Speaker der Telekom Video aufrufen
IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

    •  /