Offener Brief an Hrn. Brandstätter, HOB GmbH

Sehr geehrter Hr. Brandstätter,
Sie haben sich im Handelsblatt Nr. 76, vom 17.04.2014, auf Seite 23 in einer Anzeige zum Thema Internet-Sicherheit und Heartbleed zu Wort gemeldet (Text). Sie stellen dort einige Behauptungen auf, die ich nicht unwidersprochen lassen möchte:
(…) Der betreffende Entwickler hat diesen (einfachen) Grundsatz nicht beachtet. Also ist der betreffende Entwickler nicht übermäßig intelligent und hat auch nicht die notwendigen Grundkenntnisse.
[Meine Hervorhebungen]
Der betreffende Entwickler Robin Seggelmann hat einen Fehler gemacht. Wie kommen Sie, Hr. Brandstätter, dazu, daraus Bewertungen über seine Intelligenz abzuleiten?
Dafür, dass Hr. Seggelmann nicht die notwendigen Grundkenntnisse hat, bleiben Sie jeden Beleg schuldig. Hier nur exemplarisch ein Zitat der australischen News-Seite WAToday, das ihre Aussagen Lügen straft:
(…) Dr Seggelman, 31, from the small town of Oelde in north-west Germany, is a contributor to the Internet Engineering Task Force (IETF), a not-for-profit global group whose mission is to make the internet work better. He is attached to the Munster University of Applied Sciences in Germany, where, as research associate in the networking programming lab in the department of electrical engineering and computer science, he has published a number of papers, including his thesis on strategies to secure internet communications in 2012. He has been writing academic papers and giving talks on security matters since 2009, while still a PhD student.
His academic research influence index score of two, based on the number of scientific citations of his work, suggests an influential thinker at the early stages of his scientific career.
According to his Xing profile, Dr Seggelman has worked for Deutsche Telekom IT services subsidiary T-Systems, possibly the largest such consultancy in Germany, since 2012, as a solutions architect.
Jeder vernünftige Mensch wird zu dem Ergebnis kommen, dass Hr. Seggelmann sogar über mehr als die notwendigen Grundkenntnisse verfügt.
(…) Entwickelt wird meist ohne Entlohnung, als Hobby, neben dem Beruf. Solche Open-Source Entwickler sind oft erst 17 Jahre alt.
Ihre Aussagen wollen unterstellen, dass auf dieser Basis echte Qualität nicht entstehen kann. Einen Beleg für diese Behauptung bleiben sie aber schuldig. Glauben Sie wirklich, es kommt auf das Alter an, oder in welcher Eigenschaft jemand Software schreibt?
(…) Aber der überwiegende Teil der Open-Source Software ist von wirklich minderer Qualität.
[Meine Hervorhebungen]
Haben sie irgendwelche Belege für ihre ungeheuerliche Behauptung, dass der überwiegende Teil der Open-Source Software von wirklich minderer Qualität ist, außer dem Wunsch ihre eigene Closed-Source-Bibliothek gegen viel Geld zu verkaufen?
(…) Nur wenige Sicherheits-Komponenten schaffen die Zertifizierung nach Common Criteria EAL 4+. Common Criteria ist ein internationaler Standard (…) an welchem auch die NSA mitarbeitet. Die NSA weiß schon was sicher ist.
Dieser Einschätzung kann ich nur entschieden widersprechen. Die NSA weiß was für die NSA sicher ist, und das sind vor allem Verschlüsselungstechnologien die durch subtile Veränderungen für die NSA leicht kompromittierbar sind. Als Beispiele seien nur die Kürzung der Schlüssellänge von DES und die Manipulation des Pseudozufallszahlengenerators 'Dual EC DRBG' der NIST genannt. Die NSA will Sie bestimmt nicht darin unterstützen, sichere Krypto-Bibliotheken zu entwickeln.
(…) Bei HOB wird streng darauf geachtet, das sicherheitskritische Produkte nicht in falsche Hände geraten. Das gilt für die fertigen Produkte. Erst recht der Sourcecode, den dürfen nur ausgewählte Personen einsehen.
Die überwiegende Mehrheit der Krypto-Experten auf der ganzen Welt sind sich einig, dass Security by Obscurity gerade nicht zu mehr Sicherheit bei Algorithmen und Produkten führt (Kerckhoffs’ Prinzip). Je mehr Augenpaare die Algorithmen und den Code prüfen, umso größer ist die Chance Fehler zu entdecken und zu beheben.
(…) Was hält der Leser davon, für sicherheitskritische Funktionen Open-Source zu verwenden, wo jeder der hacken will ganz bequem im Sourcecode suchen kann wie das Ganze funktioniert und ob er nicht eine Schwachstelle findet?
Die SSL-/TLS-Spezifikationen sind als RFC's öffentlich einsehbar. Closed-Source schützt also nur etwas besser gegen Fehler in der jeweiligen Implementierung. Allerdings kann auch eine Closed-Source Binärdatei disassembliert und dann analysiert werden. Der Schutz ist also relativ.
Gegenfrage: Was halten Sie davon, dass man in sicherheitskritischer Closed-Source Software leicht Hintertüren einbauen und ausnutzen kann, die dann entsprechend lange unentdeckt bleiben, da niemand den Source-Code einsehen kann?
Zusammenfassend stelle ich fest, dass es Ihnen nicht gelungen ist, auf der Basis ihrer unbelegten, rein kommerz-orientierten Behauptungen die Open-Source-Community zu diskreditieren. Das gilt noch mehr für ihre Aussage über das angebliche Intelligenz-Niveau eines Mitglieds dieser Community. Diese Aussage ist geschmacklos, ehrabschneidend und erfordert eine Entschuldigung von Ihrer Seite.
Mit freundlichen Grüßen
Winfried Dietmayer