Liebe Leser:innen,
das vergangene Jahr ist turbulent zu Ende gegangen. Mitte Dezember hat die Aufdeckung der Schwachstelle in der Log4j-Bibliothek hohe Wellen geschlagen (sog. Log4shell). Diese Open Source Bibliothek wird in so gut wie jeder Java-Anwendung verwendet und dient dazu, die Aktivität einer Anwendung zu protokollieren und somit auch Fehler, Abstürze etc. nachvollziehen zu können. Das Problem ist, dass diese Schwachstelle genutzt werden kann, um das Programm unbemerkt anderen Code ausführen zu lassen und diese Schwachstelle schon seit 2013 existiert. Mit ziemlicher Wahrscheinlichkeit wurde dies bereits ausgenutzt, weil diese Bibliothek sehr weit verbreitet ist. Dazu kommt, dass Angreifer über derartige Schwachstellen Zugriff auf das Zielsystem bekommen und unbemerkt andere Programme installieren können, die es ihnen ermöglichen auch nach der Schließung der Schwachstelle die Kontrolle über das Zielsystem zu erlangen (sog. Backdoor). Das heißt, dass selbst nach dem Bekanntwerden und der angepassten Bibliothek keine Entwarnung gegeben werden kann, weil niemand weiß, ob und wie das bereits ausgenutzt wurde und darüber vielleicht ganz andere Sachen installiert wurden. Wer mehr dazu erfahren möchte findet hier eine englische Zusammenfassung. Wer gucken möchte, ob genutzte Dienste davon betroffen sind, findet hier eine gute Übersicht.
Diese Sicherheitslücke hat wieder einmal mehr gezeigt, wie vernetzt die Welt inzwischen ist und dadurch natürlich auch verwundbar. Gerade in der heutigen Zeit, in der Daten zu großen Teilen nicht mehr vor Ort, sondern in Clouds gespeichert werden und mittels unterschiedlicher Programme von überall (vorausgesetzt eine Internetverbindung ist vorhanden) abgerufen werden können. Die Aufdeckung und die Aufregung darum zwingt also auch noch einmal dazu, sich zu hinterfragen, welche Online-Dienste man wirklich nutzen möchte, da man immer ein Restrisiko haben wird. Absolute Datensicherheit wird man nur offline haben, dort dann aber natürlich andere Probleme wie Datenvernichtung durch Hardwareprobleme.
Welche Rolle spielt Open Source dabei?
Unabhängig davon hat der Skandal noch einmal das Thema Open Source hochgekocht. An manchen Stellen stand, dass man bei Open Source unsicher sei, da das ja Freiwillige machen und kein Unternehmen dahintersteht, dass dafür die Verantwortung übernimmt.
Dazu gibt es zwei Sachen zu sagen: Erstens nutzen mittlerweile sämtliche Großunternehmen Open Source Bibliotheken (weswegen von der jetzigen Schwachstelle auch so viele Dienste wie z.B. Amazon, iCloud u.A. betroffen sind). Das hat den einfachen Grund, dass man sich so Entwicklungskosten sparen kann und zudem Zugang zu Entwickler-Wissen der ganzen Welt hat und nicht nur auf das Wissen der eigenen Belegschaft angewiesen ist. Nicht jede Firma muss also das Rad neu erfinden, was ja einleuchtend klingt. Microsoft hat sich sogar gleich die größte Open Source Community (Github) gekauft und so den Zugang zum Wissen gesichert. Zweitens ist durch die öffentliche Einsehbarkeit von Open Source Programmen zumindest die Wahrscheinlichkeit höher, dass andere sich den Code angucken und vielleicht einen Fehler entdecken. Bei proprietärem Code (also nicht Open Source), haben nur die Firmenentwickler Einblick in den Code. Das heißt aber nicht, dass es sicherer ist, da Hacker ja dennoch Schwachstellen entdecken können, die die Firma z.B. wegen Betriebsblindheit nie entdecken würde. Da kann ein Blick von jemand anderem helfen.
Das Internet basiert zu großen Teilen auf Open Source
Dennoch ist natürlich richtig, dass Open Source Entwickler selten für ihre Arbeit bezahlt werden und gerade bei kleinen Bibliotheken auch nur wenige andere direkt an der Code-Pflege mitwirken. Dazu gibt es hier ein gutes Bild (https://blog.scottlogic.com/2020/12/22/software-crisis.html). Das ganze Internet basiert auf unzähligen Bibliotheken, die häufig von Enthusiasten in ihrer Freizeit geschrieben und gepflegt werden und dafür häufig überhaupt kein Dank und oder Geld erhalten. Insofern würde ich die obige These, dass Open Source unsicher sei, nicht unterschreiben. Man muss immer vorsichtig sein bzw. wissen, dass man sich im Internet einem Grundrisiko zum Datenklau aussetzt, egal ob Open Source oder nicht. Man kann aber seinen Teil dazu beitragen, Open Source Entwickler zu unterstützen; zum Beispiel durch Spenden.
Das bringt mich zu einem Open Source Programm, das ich kürzlich entdeckt habe und dass mir persönlich sehr weiterhilft. Ich habe ja schon in diesem Beitrag darüber geschrieben, dass ich in alternatives Handy-Betriebssystem (SailfishOS) nutze. Zum Hintergrund: Das ist ein Betriebssystem, das wie Android auch auf Linux basiert und frei zugänglich ist. Im Gegensatz zu Googles Android aber deutlich datenschutzorientierter ist. Hinter dem System steht eine Gruppe ehemaliger Nokia-Entwickler, die nach dessen Übernahme durch Microsoft die Firma Jolla gegründet haben und das damals noch unter dem Namen „MeeGo“ bei Nokia laufende Projekt als SailfishOS veröffentlicht haben. Die Software ist kostenlos, Geld verdient Jolla durch zusätzliche Features und neuerdings vor allem dadurch, dass sie ihr System an Mobilfunkunternehmen in den BRICS-Staaten lizensieren, die eine Alternative zu Android wollen.
Mit Waydroid kann eine Android-Umgebung in Linux-Systemen geschaffen werden
Die ziemlich aktive Gemeinschaft der Sailfish-Nutzer, die sich augenzwinkernd Sailors nennen, haben nun das bereits existierende Open Source Program „Waydroid“ für SailfishOS portiert. Ich habe es zwischen den Jahren getestet und bin begeistert. Das Programm ermöglicht eine Nutzung von Android-Apps in Linux Umgebungen. Also quasi eine App in der App. Theoretisch geht das Programm damit auf jedem Endgerät, das mit Linux läuft; ob Computer, Tablet oder eben Smartphone. In Foren wurde bereits diskutiert, dass es auf dem UbuntuTouchOS (das Ubuntu-System für Handys) und dem Pinephone funktioniert. Auf Linux-Rechnern sowieso. Waydroid selbst kreiert eine Android-Umgebung, die auf dem Google-freien LineageOS basiert.
LineageOS oder auch /e/ und das deutsche VollaOS sind Betriebssysteme, die auf dem freien Teil von Android basieren, aber ohne die ganzen Google-Dienste (z.B. Google Maps, Google Play Store, Google Calender etc.) funktionieren. Diese kann man sich anstatt seines vorinstallierten Android-System auf das Handy installieren, aber verliert dadurch in den meisten Fällen seine Garantie. Da die meisten Menschen, die Menüführung von Android gewohnt sind und auch die meisten Apps für dieses System geschrieben werden, sind sie im Gegensatz zum Beispiel zu Sailfish die deutlich beliebteren Google-Alternativen.
Ich habe die Steuerung und Oberfläche von Sailfish aber zu schätzen gelernt und bin durch die Möglichkeit Waydroid zu nutzen nun aber auch in der Lage Apps zu nutzen, die nicht für Sailfish existieren. Die Macht für Apple und Google entsteht zu einem Gutteil natürlich auch durch die App-Stores, in denen unzählige Entwickler und Firmen ihre Apps anbieten. Nicht nur das Google und Apple daran verdienen, sondern auch, dass andere Betriebssystemhersteller genau diese Fülle an zusätzlichen Diensten nicht anbieten können, da die Entwickler bei dem Aufwand einer App-Erstellung natürlich nur die weitverbreiteten Systeme. Ein Henne-Ei Problem sozusagen.
Es kommt Bewegung in das Duopol der Handy-Betriebssysteme
Durch die alternativen Android-Systeme und auch durch Waydroid wird sich das aber in meinen Augen in Zukunft etwas nivellieren und Nutzer auch eher bereit sein, ein anderes System auszuprobieren. Noch gibt es zwar kleinere Einschränkungen in der Nutzung, sodass zum Beispiel Bluetooth und NFC innerhalb von Waydroid nicht funktioniert und von den Apps dann auch nicht genutzt werden kann. Aber ich bin zuversichtlich, dass irgendwann eine Lösung existieren wird, die alle Funktionen umfasst.
Das dürfte ganz im Sinne der EU sein, die mit ihren neuen Gesetzen (Digital Markets und Digital Service Act) versucht, die Macht der großen Konzerne als sogenannte Gatekeeper zu brechen. Zu dem Vorhaben der EU habe ich im letzten Beitrag geschrieben. Die Gesetze sollen natürlich nicht nur im Smartphone-Bereich gelten, aber durch die zunehmende Digitalisierung auch der Bürgerdienstleistungen durch den Staat, wird dieser Bereich immer wichtiger. So führt die Entwicklung von alternativen Diensten sowie der zunehmende Druck der Gesetzgebung auf die Digitalkonzerne, ihre Dienste frei und ohne Tracking anzubieten, am Ende hoffentlich dazu, dass es einen Mittelweg gibt und die Hürden zum Wechsel wie beim Stromanbieter quasi nicht mehr existieren.
Das Kartellamt beschreitet neue Wege
Auch die deutsche Gesetzgebung stößt in das Horn der EU und hat im letzten Jahr das Gesetz gegen Wettbewerbsbeschränkungen (GWB) durch einen neuen Paragraphen (§19a) verändert, der insbesondere auf Digitalunternehmen abzielt. Mit dem neuen Paragraphen, kann das Kartellamt die „überragende marktübergreifende Bedeutung“ eines Unternehmens für den Wettbewerb feststellen und hat dann spezifische Eingriffsrechte gegenüber diesem Unternehmen. Diese Feststellung – und damit gesonderte Beobachtung – gilt jeweils für 5 Jahre. Somit können dann im Zweifel wettbewerbsgefährdende Praktiken untersagt werden. Alles ziemliches Neuland für das Kartellrecht, sodass es in der Juristenwelt auch kontrovers diskutiert wird. Pünktlich zum neuen Jahr hat das Kartellamt nun offiziell festgestellt, dass Google bzw. Alphabet unter diese Regelung fällt und eine „überragende marktübergreifende Bedeutung“ hat. Weitere Firmen und konkrete Untersuchungen zu Googles Diensten sollen folgen, wie sich aus der Pressemitteilung entnehmen lässt.
Auch die amerikanische Wettbewerbsbehörde FTC unter der Führung der Big Tech-Kritikerin Khan dringt auf Änderungen in der bestehenden Definition von Monopolen (siehe hier). Die letztes Jahr noch abgewiesene Kartellklage gegen Facebook wurde nun im zweiten Anlauf angenommen (siehe z.B. bei der Zeit).
Es wird also ein spannendes Jahr werden.
In diesem Sinne: Das letzte Jahr ist mit der Aufdeckung einer riesigen Sicherheitslücke zu Ende gegangen. Die Frage, wie sicher Daten im Internet sind und welche Rolle Open Source Bestandteile daran haben wurde stark diskutiert. Immerhin zeigte sich, dass man unabhängig von dem jeweiligen Dienstanbieter keine absolute Sicherheit im Internet haben kann. Mit diesem Wissen kann man noch einmal abwägen, welche persönlichen Daten online wirklich gebraucht werden bzw. welche Online-Dienste man nutzen möchte. Das Wissen, dass sowohl in den Programm von namhaften Anbietern als auch bei eher unbekannter Software teilweise dieselben Open Source Bibliotheken genutzt werden, erleichtert zudem eventuell die Entscheidung etwas Neues im neuen Jahr auszuprobieren. Neben alternativen Handy-Betriebssystemen gibt es inzwischen auch Programme, die das Ausführen von Android-Apps in einem alternativen Betriebssystem ermöglichen. Auch die EU und das deutsche Kartellamt möchten in diesem Jahr den Umgang mit marktbeherrschenden Unternehmen und Gatekeepern im Digitalbereich stärker kontrollieren. Die Entscheidung des Kartellamts am Jahresanfang, Googles Geschäftspraktiken nun genauer zu untersuchen, ist ein gutes Aufbruchssignal, sich in diesem Jahr selbst mit seiner digitalen Souveränität auseinanderzusetzen.