Archiv der Kategorie: Presseschau

Berichte und Interviews

Heartbleed oder die Open-Source-Frage

Ganz große Aufregung dieser Tage: Der Softwarefehler, der unter dem Codenamen „Heartbleed“ bekannt wurde. Er sitzt im Programmcode von OpenSSL, das zum Aufbau einer verschlüsselten Verbindung mit einem Server genutzt wird. Durch die Lücke lassen sich bei geschickter Ausnutzung Infos vom Server abrufen, die der niemals preisgeben sollte, z.B. Passwörter anderer Nutzer. Das ist richtig schlimm, weil OpenSSL in sehr, sehr vielen Servern eingesetzt wird. Keine Ahnung warum die Tagesschau nur von „600 betroffenen Webseiten“ fabuliert, vermutlich war bei denen die Tinte des Agenturfax verschmiert, denn die Anzahl der betroffenen Seiten liegt weitaus höher. Tatsächlich muss jetzt bei jedem betroffenen Server eine Fehlerbehebung durchgeführt werden, dann sollte das Serverzertifikat getauscht werden, und eigentlich muss auch jeder Mensch all seine Passwörter in allen Onlinesystemen ändern. So schlimm ist es.

Was das Ganze mit Stud.IP zu tun hat? Nun, Stud.IP ist Open Source-Software, genau wie OpenSSL. Das bedeutet, dass die Software benutzt, verändert und weitergegeben werden darf, ohne das jemals Lizenzkosten anfallen. Außerdem kann man den Quellcode ansehen und ändern (wenn man programmieren kann). Das Gegenteil von Open Source ist proprietäre Software. Bei der Art darf man nicht in den Quellcode sehen, und die Benutzung der Software kostet meist Geld in Form von Lizenzen.

Im Zuge der „Heartbleed“-Berichterstattung gibt es nun Kommentare, dass man Open-Source-Software jetzt aber mal professionalisieren sollte, damit solche schlimmen Fehler nicht passieren. Man bräuchte dringend Vollzeitentwickler und vor allem Manager, fordert z.B. ein Kommentar in der ZEIT.

Mich ärgert diese Forderung, weil sie die Vorhut eines erneuten Angriffs auf das Open-Source-Entwicklungsmodell darstellt. Der Kampf proprietäre Software vs. Open Source läuft seit Jahren, und die Argumente sind immer die gleichen. „Proprietäre Software ist sicherer als Open Source-Software“, ist meist das Hauptargument, und das falscheste überhaupt. Denn bei der Open-Source-Entwicklung gucken viele Personen über den Code eines Entwicklers, stellen Fragen und bügeln Fehler aus. Das geht, weil alle an den Code rankommen. Bei proprietärer Software ist der unter Verschluss.

Noch etwas anderes ist entscheidend, und das hat Fefe in seinem Blog schön zusammengefasst:

Open Source als Bewegung ist das Konzept, dass man Leute Code schreiben lässt, deren Herzensblut dranhängt. Die es eben nicht kurz herunterpfuschen, weil sie dafür bezahlt werden. Open Source ist die Beobachtung, dass manche Menschen es lieben, Code zu schreiben. Und wenn man sie nicht mit Deadlines und Deliverables und dem monatlichen Paycheck unter Druck setzt, dann nehmen sie sich die Zeit und machen ihr Projekt ordentlich. Viel ordentlicher jedenfalls als die durchschnittliche kommerzielle Software.

(Quelle)

Kernaussage: Open Source-Entwicklung gibt einem auch nicht-monetäre Belohnung. Wenn man Open-Source-Projekte anfängt wie Wirtschaftsunternehmen zu führen, wird das Geld einen Druck erzeugen, der zu betriebswirtschaftlichen Optimierungen und dadurch zu sinkender Qualität führt.

Tatsächlich ist es bei Stud.IP so, dass wir gute Erfahrungen mit einer Firma im Open-Source-Modell gemacht haben. Data-quest bringt professionelles know-how in die Entwicklung mit ein und ist Teil der Entwicklercommunity. Auf dieses feine Detail muss man aber Wert legen: Wir sind TEIL der Community, wir managen das Projekt nicht. Für die Stud.IP-Entwickler bei data-quest ist das eine komfortable Situation: Sie tun etwas, an dem ihr Herzblut hängt und was sie gerne machen und werden dafür sogar noch bezahlt*. Das ist oft ein Spagat, aber es funktioniert, weil uns was an dem liegt was wir tun.

Der Punkt ist aber: Stud.IP funktioniert, weil viele Leute daran mitarbeiten, und dabei viel freiwillig investieren und sich Mühe geben, dass, was sie machen, so gut wpie möglich zu tun. Stud.IP ist mehr als lieblos runterprogrammierter Code, und das trifft auf fast jedes Open Source-Projekt zu. Das ist aber nur der Anfang. Alles was bei Stud.IP getan wird, wird anschliessend so genau wie möglich geprüft. Bevor eine neue Funktion im Release landet, muss sie durch Abstimmungs- und Reviewprozesse, Tests und Codeaudits. Dafür hat die CoreGroup eigene Regularien aufgestellt. Natürlich wäre es wünschenswert, wenn die daran beteiligten Personen mehr Zeit für diese Arbeiten aufbringen könnten oder der Personenkreis größer wäre. Und es ist nicht so, als wenn unser kleines Projekt keine Unterstützung in monetärer Form brauchen könnte. Dafür gibt es den Stud.IP Verein, der mit relativ wenigen Mitteln (eben aus Spenden und Mitgliedsbeiträgen) viel Gutes macht. Aber der Umbau eines Open Source-Projekts in ein Unternehmen ist da genau der verkehrte Weg, das funktioniert nicht.

Open Source-Software ist nicht unsicherer als propritäre Software. Das Gegenteil ist der Fall, und daran sollte sich jeder erinnern, wenn demnächst die ersten Rufe laut werden, dass Open-Source-Projekte entweder wie Unternehmen geführt werden oder gleich verstaatlicht werden sollten.

________________________
* Übrigens: Es sind noch Stellen frei.

Stud.IP ist NICHT studIT

Wie dem Heise-Newsticker zu entnehmen ist, gab es an der Universität Göttingen ein Datenleck. Mailadressen, Namen und Vornamen von rund 26.000 Studierenden liessen sich über einen offenen LDAP-Server abrufen. Das ist ein sehr ernstzunehmendes Problem, aber darauf soll hier nicht weiter eingegangen werden.

Wichtig ist mir ein anderer Punkt, der hier noch einmal kurz erläutert werden soll, bevor es zu Irritationen kommt.
Verantwortlich für den freigiebigen LDAP-Server ist die studIT. Das ist kein Schreibfehler, sondern der Name der Beratungsstelle für Studierende in allen Fragen rund um EDV, abgekürzt eben studIT. Die Betonung liegt hier auf dem letzten Buchstaben – „T“.

Trotz der Namensähnlichkeit, die eine Verbindung nahelegt, hat die studIT der Universität Göttingen nichts mit der Betreuung des Göttinger Stud.IPs zu tun.

Das Göttinger Stud.IP-System wurde zum Zeitpunkt des Datenlecks nicht zusammen mit einem LDAP genutzt. Die Nutzerdaten unterscheiden sich von denen des LDAP und liegen in der Stud.IP-internen Datenbank. Der Stud.IP-Server wird vom Mathematischen Institut der Universität betreut und war zu keinem Zeitpunkt Opfer eines Hackerangriffs.

Seit dem Terry-Gilliam-Film „Brazil“, in dem eine Fliege, die sich in eine Schreibmaschine verirrt hat und dadurch eine Kette unglaubwürdiger Ereignisse auslöst, wissen wir: Manchmal macht ein kleiner Buchstabe einen entscheidenden Unterschied aus.

UPDATE: Der initiale Artikel inkl. einer Stellungnahme der Universität findet sich auf netzpolitik.org

Der aktuelle Presseclub

LMS-News
Seit einiger Zeit bauen Ruben Schulze-Fröhlich und einige Mitstreiter an der Uni Augsburg E-Learning-Services auf. Eines der Projekte an der Professur für Medienpädagogik sind die LMS-News. Zielsetzung ist es, News, Berichte, Tests und alles andere rund um Lern-Management-Systeme in einer zentralen Plattform zu sammeln und potentiellen Interessenten Entscheidungshilfen zu bieten.
Die Idee ist alles andere als neu. Viele Fördergelder wurden in ähnlichen Projekten versenkt. Was Ruben & Co an finanziellen Mitteln fehlt, machen Sie mit Elan und Begeisterung wett.
Das sollte hier mal erwähnt werden.

Ebenfalls erwähnenswert ist, wie gut Stud.IP in den Einzeltests der Lernplattformen abschneidet. So gut wie jede muss sich den Vergleich mit Stud.IP gefallen lassen – welches anscheinend die Maßstäbe setzt.
Sehr interessante Lektüre also.

Im Augenblick lohnt sich der Besuch der Seite umso mehr, weil gerade ein launiges Interview mit mir erschienen ist, in dem es u.a. um Vorbrhalte von Hochschulen gegen Open-Source-Software und die Zukunft von Stud.IP geht.

Der Artikel findet sich hier.
Und bevor es jetzt Kommentare hagelt: ja, das Foto ist gruselig.
Ich kann aber nichts dafür, ich sehe nun mal so aus.

Financial Times Deutschland
Der Financial Times Deutschland lag gestern in Vollauflage ein Sonderheft bei: „VisAVis Economy“.
Ein fünfseitiger Artikel beschäftigt sich unter der Überschrift „Wissen intelligent managen“ u.a. mit dem Einsatz von Lernplattformen in Unternehmen. Auf Seite 32 gibt es einen halbseitigen Kasten, der sich ausschließlich mit Open-Source in Unternehmen und dem Stud.IP-Ableger eP beschäftigt, gwürzt mit launigen Zitaten eines gewissen Herrn Bohnsack.

Auf der VisAVis-Homepage kann man das Heft kostenlos als ePaper bekommen.
Leider nur nach Registrierung, und der Download mit FireFox funktioniert auch nicht. Demnächst gibt es aber einen Scan in unserem Pressearchiv auf der Portalseite