Kürzlich hat der DATABUND – Verband der mittelständischen IT-Dienstleister und Softwarehersteller für den öffentlichen Sektor e. V. eine Pressemitteilung herausgegeben, die bei mir einige Irritationen hervorgerufen hat, da darin falsche Informationen verbreitet werden.

Nachfolgend möchte ich einige Punkte näher beleuchten und richtigstellen:

1. Zur Bezeichnung des Angriffs als “SSH-Hack”: Der Titel “Pressemitteilung SSH-Hack” erweckt den Eindruck eines klassischen Hacks, jedoch handelt es sich in diesem Fall um einen Supply-Chain-Angriff. Im Gegensatz zu einem direkten Hack erfolgt ein Supply-Chain-Angriff mittelbar über Drittanbieter, in diesem Fall die Bibliothek XZ Utils1. Die korrekte Terminologie ist wichtig, um die Herkunft oder Ziele des Angriffs korrekt zu beschreiben.

2. Zur Zuweisung der Täterrolle: Die Behauptung, dass chinesische Angreifer involviert waren, basierte auf frühen Annahmen, die sich später als unzutreffend erwiesen.2 Aktuelle Erkenntnisse deuten darauf hin, dass die Unterwanderung von Russland ausging. Hier besteht offensichtlich ein Mangel an gründlicher Recherche seitens des DATABUNDs.

3. Zur Verantwortlichkeit für den Quellcode: Die Aussage, dass Community-Entwickler keine Verantwortung für ihren Code übernehmen und keine Konsequenzen für Fahrlässigkeit oder Fehlverhalten zu befürchten haben, ist nicht korrekt. Tatsächlich ist es möglich, Zusicherungen von Open-Source-Herstellern3 zu erhalten, ähnlich wie bei proprietärer Software. Update: Tim hat ergänzt, dass Entwicklerinnen und Entwickler bei grober Fahrlässigkeit oder sogar vorsätzlichem Fehlverhalten persönlich für ihre Handlungen haftbar gemacht werden können. 4

4. Zur Beschaffung von Software ohne Garantien: Die Annahme, dass öffentliche Verwaltungen nur Software mit Garantien beschaffen, ist nicht zutreffend. Produkte wie Firefox, KeePass oder VLC Player werden ohne explizite Garantien in Verwaltungen eingesetzt. Die Entscheidung, welche Software beschafft wird, hängt von verschiedenen Faktoren ab, und nicht immer ist eine umfassende Gewährleistung möglich oder erforderlich.

5. Zur Bedeutung von Open Source und digitaler Souveränität: Die Aussage des DATABUNDs, dass digitale Souveränität nicht nur auf ein Lizenzmodell beschränkt sein sollte, ist zwar grundsätzlich richtig, vernachlässigt jedoch die essenzielle Rolle offener Standards und Datenformate, die oft mit Open Source einhergehen. Diese ermöglichen echte Wahlfreiheit und Teilhabe, indem sie Interoperabilität und Unabhängigkeit von einzelnen Anbietern fördern.

Aus fachlicher Perspektive betrachtet erscheint die Pressemeldung als wenig fundiert und unseriös. Sie scheint die Beibehaltung bestehender Geschäftspraktiken zu fordern, um jegliche Veränderungen zu vermeiden und den Status quo beizubehalten.

(Disclaimer: Ich beziehe mich auf die Pressemeldung die am 20. April 2024 um circa 10 Uhr veröffentlicht war. Ich arbeite für einen IT-Dienstleister der öffentlichen Verwaltung und bin in einer Position ähnlich der eines Open-Source-Beauftragten tätig.)

  1. https://boehs.org/node/everything-i-know-about-the-xz-backdoor ↩︎

  2. https://rheaeve.substack.com/p/xz-backdoor-times-damned-times-and ↩︎

  3. https://de.wikipedia.org/wiki/Gesch%C3%A4ftsmodelle_f%C3%BCr_Open-Source-Software ↩︎

  4. https://hub.tschlotfeldt.de/display/035c9b09-c13a-44fa-a0a2-03357636049d ↩︎