 So, ja funktioniert perfekt. Herzlichen Dank auch von meiner Seite an die Organisatoren der Grazer Linux-Tage und auch an das Labor für Molekularpatologie für die Einladung hier. Mein Name ist Max Mehl, ich arbeite für die Free Software Foundation Europe und werde heute ein bisschen reden über dieses Spannungsfeld zwischen IT-Sicherheit und freier Software. Was ja an sich vielleicht so ein bisschen konträr ist, freie Software als sehr offen, als sehr transparent, Sicherheit als irgendwie Geheimnisse und irgendwas, was man schützen muss. Wie passt das zusammen? Dazu werde ich erst mal ein bisschen was generell sagen zu IT-Sicherheit. Was ist dafür ausschlaggebend, meine Ansicht nach? Dann ein bisschen dazu, wie freie Software dazu beitragen kann, in welcher Art und Weise, aber auch ein bisschen die Abwägungen auf vielleicht die negativen Seiten. Wo kann freie Software, wo kann das irgendwie vielleicht nicht funktionieren? Oder was muss man daran bedenken? Und ganz zum Schluss gehe ich auf ein relativ aktuelles Beispiel ein, um das irgendwie zu verdeutlichen. Aber zuerst, damit ihr mich uns irgendwie einordnen könnt, ich arbeite für die Free Software Foundation Europe und wir sind ein gemeinnütziger Verein, der sich in ganz Europa dafür einsetzt, dass Menschen ihre Technik kontrollieren können. Was heißt das denn Technik kontrollieren? Also Technik, das sind ja Computer und Smartphones, aber es geht auch irgendwie um Smart TVs, um Sprachassistenten, die uns zuhause zuhören, um Fernbedienungen vielleicht sogar. Also diese Technik wollen wir eigentlich kontrollieren. Wir möchten gerne wissen, was läuft darauf und vielleicht auch sicherstellen, dass sie sicher ist. Schöne Stichwort. Die meisten von euch werden vielleicht auch schon wissen, was freie Software ist, denn das ist unserer Ansicht nach das, was Menschen ermöglicht, ihre Technik kontrollieren zu können. Ich werde es trotzdem nochmal kurz durchgehen, als kleine Erinnerung stütze, was freie Software ist. Wir reden hier von vier elementaren Freiheiten, die uns dieses Software geben muss, die wir als Nutzerin und Nutzer haben müssen. Die erste Freiheit ist, die Software verwenden zu können für jeden Zweck. Es heißt egal, ob privat, ob kommerziell, unbegrenzt lang. Also bei freier Software gibt es nicht so was wie eine 30-Tage-Testversion. Die haben wir oder die haben wir nicht. Die zweite Freiheit ist die Freiheit des Verstehens. Wir haben also den Quelltext der Software. Wir können quasi dieses Rezept nachvollziehen, die Methoden, wie Software funktioniert, was sie mit den Daten macht, wo was hingesendet wird. Das ist elementar, damit wir überhaupt verstehen können, was passiert. Die dritte Freiheit ist die Freiheit des Verbreitens, des Teilens. Das heißt, Software kann unbegrenzt kopiert werden, weitergegeben werden, selbst wenn der ursprüngliche Hersteller der Software, die vielleicht aus irgendwlichen Gründen gar nicht mehr vertreibt. Und die letzte Freiheit, die vierte Freiheit, ist die Freiheit des Verbesserns. Das heißt, wir selbst oder jemanden, dem wir fragen, dem wir dafür beauftragen, kann die Software verändern, zum Guten oder zum Schlechten, irgendeine Funktion hinzufügen oder entfernen, die uns nicht gefällt und diese Veränderungen dann auch wiederum mit allen Teilen. Es ist also eine sehr schöne Sache, diese freie Software. Wichtig dabei ist, alle vier Freiheiten müssen gegeben sein. Freie Software hat diese vier Freiheiten. Wenn sie nur drei hat, ist es keine freie Software. Dann reden wir von unfreie Software oder proprietaryer Software. Nur diese Kombination ermöglicht uns technisch kontrollieren zu können. Und um das auch nochmal klarzustellen, es gibt ja auch diese anderen Begriffe, Open Source, Libre Software, Foss Floss, das sind Synonyme für freie Software. Das sind unterschiedliche Begriffe mit unterschiedlichen Fokie, aber es kommt auf die vier Freiheiten an, die drin stecken. Nun, kurzer Exkurs zu freier Software, kommen wir zum eigentlichen Thema IT-Sicherheit. Wir haben gerade schon gehört haben, IT-Sicherheit ist das Thema. Hier ist das IT-Sicherheit Silicon Valley in Graz. IT-Sicherheit, das schwatterniert auch gerade jeder. Man muss es böse sagen, der hergelaufene Politiker, der irgendwas von Cyber Security weiß. Alle zwei Monate werden irgendwelche Institute und Behörden gegründet, die sich um IT-Sicherheit, um Cyber Security, um Cyber Terrorism kümmern müssen. Was ist das eigentlich? Warum ist das so relevant und wie kann man IT-Sicherheit verstehen? Ich habe mir eine Definition rausgesucht, die wahrscheinlich die Einfachste ist und zugleich vielleicht die Komplexeste. Und zwar stammt sie von diesem sympathischen Herrn. Einige von euch werden ihn vielleicht kennen. Das ist Pruesschneier. Pruesschneier ist studierter Informatiker, Kryptografie-Experte, hat schon mehrere Bücher zu dem Thema veröffentlicht und bereits im Jahr 2000 hat er folgenden schönen Satz in seinem Buch Secret and Lies geschrieben. Security is not a product, it itself is a process. Also Sicherheit ist kein Produkt, es ist ein Prozess, um den es sich handelt. Das heißt Sicherheit ist kein Label, was wir irgendwo draufklatschen können. Eine Software oder ein Produkt, das irgendwann mal als sicher deklariert wurde, muss es morgen nicht mehr sein, muss es in einem Jahr nicht mehr sein, ist vielleicht auch durch den Prozess gar nicht so gewachsen, dass es überhaupt sicher sein kann. Das heißt Sicherheit, IT-Sicherheit ist kein Status, sondern ein fortlaufender Prozess. Das ist so ein bisschen abstrakt. Ich würde aber gerne mal ein bisschen reinschauen, was sind diese Prozesse oder was sind die Komponenten, die irgendwas mit IT-Sicherheit zu tun haben. Da gibt es die relativ offensichtlichen. Die können wahrscheinlich neun von zehn Leuten auf der Straße ebenfalls runterbeten, weil das so oft in den Medien kam. Da gibt es Code-Fehler. Das heißt menschliche Fehler, Leute, die irgendwas falsch programmiert haben. Das heißt es ist eine Lücke im Softwarecode drin, die ausgenutzt werden kann für irgendwelche Zwecke. Oder eine Programmiersprache, die eher dazu anregt Fehler zu machen oder gewisse Fehler nicht zu lösen. Dann gibt es Sachen wie Verschlüsselung, das heißt fehlerhaft implementierte Verschlüsselung oder vielleicht ein Algorithmus, der schon längst geknackt wurde. Das heißt es ist nicht sicher, dass nur Sender und Empfänger die Nachricht entschlüssen können, sondern vielleicht auch andere Leute. Unnatürlich gehört auch Fehlerbehebung dazu. Wenn eine Lücke gefunden wurde in einer Software, was ja regelmäßig passiert und es gibt keine hundertprozentige Sicherheit, dann muss dieser Fehler natürlich auch behoben werden. Das erwarten auch Leute, irgendwelche Windows Security Patches. Auch davon liest man herständig. Aber geben wir eine Ebene tiefer. Was gibt es noch für Komponenten? Zum Beispiel Bibliotheken. Und damit meine ich jetzt nicht die, in denen Bücher drin stehen, sondern irgendwelche Bausteine, die man sich vielleicht von anderen Firmen, Programmiererinnen und so weiter borgt. Das kann zum Beispiel sein, das sind eine Software, die ich baue. Hol ich mal eine Komponente hinzu, eine Bibliothek, die sich um den Mails versandt kümmert. Das ist großartig, weil da muss ich gar nichts mehr selbst dazu programmieren. Aber auch da können natürlich Sicherheitsfehler drin sein. Auch die können fehlerhaft sein. Das heißt auch, das ist eine Komponente, diese externen Abhängigkeiten. Dann der Faktor Mensch. Was bringt mir die beste Sicherheit der Software, wenn ein Mitarbeiter oder ein befreundeter Programmierer, der irgendwie Zugang dazu hat, alle Kundendaten rausgibt. Alle Passwörterpreis gibt. Dann bringt mir die beste Software-Sicherheit gar nichts. Und zum Schlesst auch sowas wie Customization. Das heißt, wenn ich als Firma zum Beispiel Anpassungen mache für einen Kunden, dann habe ich nicht mehr nur eine Software, die ich vertreibe, sondern zwei. Die muss ich natürlich auch dementsprechend warten. Das heißt, ein Fehler, der in der eingefunden wurde, muss in der anderen auch behoben werden. Vielleicht ist durch die Anpassung auch erst ein Softwarefehler möglich geworden, ein Sicherheitsfehler. Und dann gibt es die ganz fiesen Details, strategische Entscheidungen. Wenn ein Routerhersteller sich entscheidet, ein gewisses Datei-Austausch-Format zu unterstützen, um einen gewissen Kundenstamm nicht zu verlieren, dieses Format oder diese Software, die dahinter steckt, aber sehr sicherheitsanfällig ist, vielleicht sehr alt ist, dann baut man sich aus einer Firmenentscheidung heraus ein Sicherheitsrisiko ein. Das muss nicht unbedingt schlecht sein, das kann eine sehr valide Entscheidung sein. Aber das ist ein Faktor davon, dass quasi Management Entscheidungen Sicherheitsbeeinflussen können. So was wie Support-Zyklen, wie lang wird ein Produkt überhaupt unterstützt? Ein Monat, zwei Jahre, zehn Jahre, was passiert danach? Oder auch solche Fragen wie Haftung? Was passiert überhaupt, wenn aufgrund meines Fehlers irgendwo anders Schaden entsteht? Das sind keine Antworten hier, das sind einfach nur kleine Ausschnitte, kleine Prozesse, kleine Teile, die was mit IT-Sicherheit zu tun haben. Das heißt zeigen, wie komplex das Ganze ist. Nun, wie kann jetzt hier freie Software ein Vorteil bieten? Funktioniert das so? Wir klatschen einfach eine GPL-Lizenz drauf oder eine der Dutzenden anderen freie Software- und Open-Source-Lizenzen und dann ist eine Software sicher? Vermutlich nicht, ne? Ich glaube vielmehr, dass freie Software in diesem Zusammenhang ebenfalls kein Produkt ist. Klar ist die Lizenz sicher, aber das ist kein Label, was ich drauf klatsche und dann ist plötzlich alles sicher und alles besser und die Qualität steigt und pipa po. Sondern freie Software an sich ist auch ein Prozess, beziehungsweise freie Software fördert gewisse Prozesse, die vorteilhaft sind für Sicherheit. Ich habe mal vier dieser Vorteile rausgesucht, von denen ich glaube, dass sie am relevantesten sind. Es gibt sicherlich noch mehr. Der erste wäre freie Software, Transparenz für alle. Das heißt, für die Leute, die freie Software nutzen, die sie programmieren in einer Firma auch für alle Mitarbeiter. Jeder kann diesen Code sehen. Jeder kann daran mitarbeiten. Unabhängige Sicherheitsüberprüfungen sind möglich und man muss sich nicht darauf versteifen, den Source Code der Software geheim zu halten. Transparenz ermöglicht dabei eine routiniertere, eine bessere Sicherheitsüberprüfung in vielen Fällen. Also wie gesagt, das sind Potenziale, das ist kein Automatismus. Dann hat natürlich freie Software auch irgendwie so was wie ein Druck von außen. Ich bekomme das ganz oft mit, wenn ich mit Firmen oder auch mit einzelnen Programmierenden spreche und sie frage, warum ist eure Software eigentlich keine freie Software? Da kommen dann manchmal so Antworten wie, freie Software ist ja schön, die würde ich ja gerne machen. Aber den Code, den kann ich so nicht ins Internet stellen. Das wäre mir peinlich. Also die eine, der eine Teil da. Wo man sich natürlich fragen kann, warum zur Hölle veröffentlicht du dann überhaupt deine Software? Wenn die Qualität so grauenhaft ist, dass du sie niemanden zeigen kannst, warum schiebst du deine Software irgendwo ins Internet? Ich glaube also, dass freie Software ein gewisses Druckmittel sein kann, auch ein positiver Druck sein kann. Dann schaut man sich vielleicht noch mal genauer an, was man da eigentlich jetzt gerade auf GitHub hochstellt oder auf ein anderes Verbreitungsmedium. Freie Software an sich ist auch sehr kollaborativ. Wie gesagt, das ist transparent. Man kann alles teilen. Man kann zusammen an Projekten arbeiten und durch diese Zusammenarbeiten stehen auch gewisse Synergien. Wenn jetzt zum Beispiel zwei Firmen, zwei Behörden, zwei Länder oder mehrere davon oder einfach eine Community zusammen an einer Software arbeitet, dann gibt es nicht mehr nur einen blinden Fleck, der dann bei einer Programmiererin liegt, bei einer Firma, sondern jeder steuert seine Mittel dazu bei, jeder steuert seine Perspektive dazu bei. Und ich bin überzeugt davon, dass das förderlich ist für IT-Sicherheit oder förderlich sein kann. Das kann natürlich auch Nachteile mit sich bringen dazu später, aber die Potenziale gibt es nur mit freier Software. Und last but not least, Unabhängigkeit. Ich bin nicht mehr abhängig von einem einzelnen Hersteller, wenn es um Sicherheitsprobleme geht, sondern kann sie zur Not auch selbst lösen. Oder ich kann jemanden beauftragen, der sich lösen kann. Und wenn sich ein Produkt, eine Software komplett in die falsche Richtung bewegt, dann kann ich zur Not auch dieses Projekt alleine weiterführen, ein Fog machen oder mir andere suchen, andere Verbündete, die dann dieses Projekt weiterführen. Das heißt, diese Unabhängigkeit sorgt wieder für eine Entlastung, aber auch für einen gewissen Druck auf den ursprünglichen Hersteller. Man hat es also selbst in der Hand, man ist nicht aufgedeilt, verdäbt von einer Person, von einem Akteur abhängig. Das heißt, zusammenfassend ist meine Theorie, dass freie Software eine notwendige, aber nicht hinreichende Komponente ist für gelungene IT-Sicherheit. Notwendig, weil ich fest davon überzeugt bin, dass nur mit freier Software die höchsten Potenziale von IT-Sicherheit ausgenutzt werden können, durch die Transparenz, durch die Kollaboration, durch die Unabhängigkeit. Aber es ist nicht hinreichend. Das heißt, einfach nur es freie Software zu machen und dann vielleicht auch sein freie Software-Modell gut zu machen, reicht nicht aus. Die anderen Prozesse, die ich genannt habe und auch die, die es zusätzlich gibt, die nicht in diesen Vortragen reinpassen, sind genauso wichtig. Es ist eben eine Komponente, ein Weg dahin, eine möglichst optimale IT-Sicherheit zu ermöglichen. Natürlich gibt es auch Abwägungen, vielleicht sogar Nachteile von freier Software, wenn es um IT-Sicherheit geht. Das eine sind Zuständigkeiten. Als arbeiten zwei Firmen oder drei Behörden miteinander, vielleicht grenzüberschreitend an einem Projekt. Das passiert gar nicht so selten. Wer ist aber zuständig für IT-Sicherheit? Wer ist dafür verantwortlich irgendwelche Bibliotheken, die genutzt werden, auf Sicherheitsüberprüfen? Die wird damit umgegangen. Ja, das heißt, je mehr Akteure mit dabei sind, desto schwieriger wird diese Koordination. Der Grater-Wiederverwendung ist eine interessante Frage. Das Schöne an freier Software ist ja, dass ich mir in vielen Fällen viele Komponenten schon zusammensuchen kann. Ich nehme hier ein Web-Server, da eine Datenbank, hier die besagte E-Mail-Komponente, klatsche noch 10-20 Prozent eigenen Code drauf. Fertig ist meine Software, das ist großartig. Das ist ja das Schöne an freier Software, dass wir schon auf den Schultern von Giganten stehen können und irgendwie uns immer weiter innovativ nach vorne bewegen können. Aber es bringt natürlich auch Nachteile damit sich. Ich habe dann plötzlich sehr viele externe Abhängigkeiten, Sachen, die ich nicht einsehen kann. Und da ist es vielleicht auch eine Überlegung zu sagen, na gut, dann baue ich mir halt alles selbst zusammen. Ich brauche nicht die riesen E-Mail-Komponente, vielleicht programmiere ich mir einfach mit ein paar Zahlen selbst was zusammen und habe dann die Kontrolle drüber, was natürlich den Nachteil bringt, dass ich dann alles selbst untersuchen muss. Ich habe kein externes Know-how any. Das heißt, auch das ist eine Abwägung, die getroffen werden muss, wenn es um ein freies Software-Projekt geht. Dann gibt es das schöne Stichwort nationale Sicherheit. Und das ist eine komplizierte Frage. Gibt es Software, die besser nicht als freie Software veröffentlicht werden sollte? Gibt es Software, die vielleicht überhaupt nicht existent sein sollte bzw. wo keiner so wirklich wissen soll, dass sie tatsächlich existiert? So Stichwort militärischer Bereich. Das ist eine extrem hakelige Frage, denn muss jetzt der Code von einer Kampftrohne, muss der als freie Software sein? Müssen wir den im Internet finden können? Muss jemand, sollte jemand davon überhaupt wissen? Und ist es dann sicherheitsfördernd oder eher unsicherheitsfördernd? Keine Antwort, aber wiederum eine interessante Abwägung. Allerdings muss man natürlich sagen, das ist ein Bruchteil von der Software, die überhaupt existiert. Auch ein minimaler Bruchteil von der, die irgendwie öffentlich finanziert wird. Das heißt, ich auf solche Argumente zu berufen, das kann wirklich nur ein Ausnahmefällen überhaupt relevant sein. Und auch hier wieder. Es gibt andere Komponenten, die sicher, die wichtig sind für Sicherheit. Freie Hardware zum Beispiel. Auch in Chips können Hintertüren drin sein. Auch die können Unsicherheit fördern. Reproduzierbarkeit ist wichtig. Dass ich ein Binärpaket, ein Paket, dass ich mir irgendwo runterlade von einem Hersteller, von einem Projekt auch mit dem Source Code übereinstimmt. Stichwort reproducible built. Und natürlich auch die anderen Sicherheitsprozesse, die bereits genannt wurden. Also wiederum freie Software ist eine Komponente, aber kein Allheimittel. Jetzt eine kurze Hitlist der schönsten Gegenargumente, auf die man so trifft. Da gibt es zahllose, keine Frage. Ich habe mal die rausgezogen, die am häufigsten kommen und die ich auch selbst am interessantesten manchmal finde. Freie Software nur bei nicht kritischen Dingen. Das hört man oft so im politischen Umfeld. Ein Koalitionsverträgen ist, das sehr schön immer abzulesen bei diesen Absichten, die dort reingeschrieben werden. Aber wir gehen Richtung freie Software, aber natürlich nur bei nicht sicherheitsrelevanten Sachen. Was? Das Gegenteil sollte der Fall sein. Das habe ich, glaube ich, hoffentlich in den letzten 20 Minuten klargemacht. Dass gerade da, wo kritische Infrastruktur stattfindet, genau da, wo sehr viele Leute daran interessiert sind, genau hier holt freie Software alle Potenziale raus. Das heißt, die Transparenz, die offenen Prozesse, erhöhen das Vertrauen der Bevölkerung. Und gerade da, wo viele Interessen dabei sind, wo es wenig blinde Flecken gibt, beziehungsweise sehr viele verschiedene Mindsets, die daran mitarbeiten können, ist freie Software wichtig. Auch oft gehört, wenn jetzt mein Quelltext im Internet steht von meiner Software, dann kann ja irgendjemand kriminelle, ausländische Geheimdienste, die Illuminati können dann darin meine Sicherheitslücken entdecken. Dieses Prinzip Security through Obscurity, also Sicherheit durch Geheimhaltung, wurde mittlerweile dutzende Male, theoretisch wie auch praktisch widerlegt. Quelltext ist in vielen Fällen gar nicht wichtig, um Sicherheitslücken zu finden. Der kann oft rekonstruiert werden. Oftmals ist er gar nicht erst nötig, um irgendwelche Fehler aufzudecken. Im Gegenteil, man verwendet als derjenige, diejenige, die die Software publiziert, so viel Energie darauf, diesen Quelltext geheimzuhalten, dass man sich gar nicht mehr richtig auf die IT-Sicherheit, auf das eigentliche konzentrieren kann. Hier gilt er Care-Cost-Prinzip. Der hat schon im 19. Jahrhundert aufgestellt, das war Bezüglich Verschlüsselung damals, dass die Methode, wie Sicherheit stattfindet, also wie eine Verschlüsselung stattfindet, öffentlich sein sollte. Das heißt, je weniger Geheimnisse, desto besser. Aber das ist natürlich der Schlüssel dazu. Der Schlüssel, um irgendetwas zu übertragen oder auf Software übersetzt, die Daten, die Passwörter. Die sollten natürlich nicht öffentlich sein. Das heißt, darauf kann man sich konzentrieren, die Geheim zu halten. Das heißt, dieses Argument, dass der öffentliche Quelltext ein Risiko darstellt, greift wirklich in aller Wenigsten Fällen. Dann auch oft gehört, freie Software ist nur was von und für Hobbyisten. Ja, das sind nur irgendwelche Leute, die im Keller was programmieren. Totaler Schwachsinn. Der Linux-Körnel wird zum größten Teil von Leuten weiterprogrammiert, die alles andere als Amateure sind, die in großen professionellen IT-Firmen sitzen, von denen kann man denken, was man will. Aber das sind bei Live keine Amateure. Firmen wie Red Hat, Organisationen wie Apache, selbst proprietäre Firmen wie Microsoft arbeiten mittlerweile sehr viel an Open Source und freier Software. Im Bereich Virtualisierung und Server, im Bereich Content Management Systeme, das sind die freie Software-Lösungen führend. Da muss man schon länger schauen, um ein vergleichbares, proprietäres Produkt zu finden. Das heißt, auch dieses Argument ist kompletter Unfug. Dann, auch oft gehört, wenn ich jetzt den Quellcode brad als Firma meiner Software veröffentliche, schade ich dann nicht meinen Geschäftsinteressen, mache ich damit nicht Geheimnisse offenbar, die irgendwie das Kapital meiner Firma sind? Ja, vielleicht, tatsächlich. Es gibt an die Dutzend Geschäftsmodelle, die mit freier Software hervorragend funktionieren. Ich glaube, direkt danach gibt es auch ein Talk, der sich um so was, um diese Themen dreht. Das heißt, viele Firmen können mehr oder weniger problemlos ihr Geschäftsmodell so anpassen, dass es mit freier Software kompatibel ist. Aber natürlich kann es Fälle geben, dass Firmen, dass Startups, wer auch immer, einen extrem schlauen Algorithmus entwickelt hat, um ein spezifisches Problem zu lösen, das bisher noch keiner so gut gelöst hat. Den öffentlich zu stellen, klar, natürlich. Das wäre nicht förderlich für das Geschäftsmodell. Keine Frage. Das heißt nicht, dass die unterliegenden Komponenten nicht als freie Software veröffentlicht werden könnten. Und wiederum, ich glaube, dass das in den meisten Fällen immer möglich ist, mit freier Software gutes Geld zu verdienen und dass diese Ausnahmefälle relativ rar sind. Und trotzdem irgendwie mit freier Software kompatibel sind. Es gibt noch Dutzende mehr Gegenargumenten. Aber ich denke, das sind die vier Highlights oder die vier interessantesten. Zum Schluss, die Zeit läuft leider ab. Noch ein aktuelles Beispiel, wo ich finde, dass diese Debatte zwischen Sicherheit und freie Software-Sendung gut zu veranschaulichen ist. Es dreht sich um Huawei, eine chinesische Riesenkonzern, der viele Smartphones produziert, aber eben auch führend in der Entwicklung von 5G-Infrastruktur ist. 5G ist der zukünftige Mobilfunkstandard. Der soll noch schneller sein als LTE. Soll tief vernetzt sein in Industrieprozesse. Selbstfahrende Autos sollen über 5G irgendwie ganz gut miteinander kommunizieren können. Ist also relativ wichtig. Es soll eine sehr kritische Infrastruktur werden. So wie eigentlich alles, was mit Kommunikation zu tun hat. Da ist das Problem, dass US-Geheimdienste und die US-Regierung davor gewarnt haben. Huawei würde Hintertüren einbauen für den chinesischen Staat. Und quasi damit komplette Nationen lahmlegen können, ausspionieren können, die Huawei Hardware in ihr 5G-Netz einbauen würden. Das ist eine sehr interessante Frage, wie man damit umgeht. Denn das ist natürlich ohne Frage eine kritische Infrastruktur. Sehr viele Leute sind daran interessiert. Das kann natürlich enorme schlechte Auswirkungen haben, wenn hier spioniert wird, wenn hier was lahmgelegt werden kann. Und zugleich gibt es natürlich auch viele andere Netzwerkausstatter. Viele andere Firmen, Cisco, Ericsson, die auch in diesem Markt beteiligt sind, die auch ihre Interessen haben, wo auch Berichte darauf schließen lassen, dass gewisse Firmen auch schon für ihre heimischen Geheimdienste Hintertüren eingebaut haben. Nun, wie kann freie Software hier eigentlich helfen? Freie Software fördert Vertrauen. Wir machen uns so viele oder medial wird sich so viele Gedanken darum gemacht, dass wir Vertrauen herstellen. Freie Software könnte das. Das heißt, würden wir davon ausgehen, dass alle 5G Ausrüster ihre Software als freie Software für öffentlichen könnten. Während unabhängige Sicherheitsüberprüfungen möglich Behörden könnten sich die Arbeit aufteilen. Warum machen die Österreichischen, die Deutschen, die Französischen, die Kanadischen, die Polnischen Sicherheitsbehörden? Warum schauen die sich, zertifizieren diese Hardware und duplizieren unglaublich viel Arbeit? Hier könnte man sehr viel Arbeit aufteilen. Was ich noch interessanter finde, ist der Aspekt der Konkurrenz. Wie schön, also diese Firmen, diese 3, 4 großen Player, können sich gegenseitig kontrollieren. Die haben ungleich mehr finanzielle Ressourcen wahrscheinlich. Und wie schön wäre es denn, eine Hintertür in dem Produkt des Konkurrenten zu finden. Hier wäre also irgendwie eine gegenseitige Überprüfung möglich. Aber natürlich ist es genauso wichtig, andere Komponenten oder andere Teile von Sicherheit zu bedenken. Reproduzierbarkeit. Ja, dass wiederum der Quellcode nicht überprüft werden kann oder verglichen werden kann mit dem Binaire-Paket. Freie Hardware wäre sehr interessant in dem Bereich. Ist das unrealistisch? Ja, vermutlich schon. Vermutlich jetzt für diese aktuelle 5G-Debatte sind wir zu spät dran. Aber ich glaube, dass es mittel- und langfristig sehr relevant werden kann, hier auf freie Software zu setzen. Wir haben das auch schon als Feedback gehört auf einer Pressemitteilung, die wir Anfang Februar veröffentlicht haben dazu. Dass selbst aus Ministeriasicht Leute sagen, ja, das ist vielleicht eine Lösung für diese andauernden Probleme, die wir haben, wenn Infrastruktur immer kritischer wird und Sicherheit immer wichtiger wird. Ich würde euch dazu einladen, euch bei den nächsten Debatten bei den nächsten medialen Erscheinungen von Sicherheitsproblemen euch Gedanken darüber zu machen, hätte freie Software hier helfen können oder wie hätte es helfen können? Denn diese Probleme werden zweifellos kommen. Und ich glaube, in den meisten Fällen wird man darauf kommen, dass freie Software tatsächlich ein Treiber wäre, um Sicherheit herzustellen oder Sicherheit zu verbessern. Nun, die Zeit ist leider schon vorbei. Ich bedanke mich für eure Aufmerksamkeit. Ich bedanke mich für die Einladung und auch an alle Unterstützer der FSFE. Vielen Dank. So, vielen Dank für die sehr interessante Keynote. Da die Zeit weit fortgeschritten ist, hätten wir Zeit noch für eine Frage. Ansonsten, ich bin auch den ganzen Tag hier unterwegs, sprecht mich gerne an. Vielen Dank für den Vortrag. Vielen Dank. Es ist schön, dass Software Sicherheit ein Prozess ist. Meine Frage ist, wenn wirklich die Notwendigkeit besteht, Sicherheit zu kontrollieren und irgendwie zu inszyzialisieren, wie sollte das startfinden bzw. was wäre in Ihrer Meinung nach die wichtigsten Punkte, die beachtet werden müssten? Danke. Aus staatlicher Sicht? Beispielsweise. Ich glaube gerade aus staatlicher Sicht die freie Software richtig zu verstehen. Ich glaube, dass das ganz große Problem, was Behörden, gerade so alteingesessenen Sicherheitsbehörden, Innenministerien und so weiter, dass die immer noch dieses antiquitierte Bild von Software haben und auch von IT haben, ich kaufe mir ein Produkt. Ich gebe einen Auftrag hier, programmieren mir irgendeine Software. In der Ausschreibung steht, die sollte sicher sein, großartig. Dann kommen die Software irgendwann geliefert und damit Tschüss. Dann gibt es vielleicht noch ein, zwei Anpassungen. Ich glaube, dass es viele alteingebrachte Ministerien und auch Beamte und vielleicht auch viele Firmen, die da führen, sind. Wir haben nicht verstanden, dass Software ein sehr agiler, ein sehr dynamischer Prozess ist und dass eben Sicherheit auch nicht einmal da ist und dann für immer da bleibt, sondern es ein stetiger Prozess ist und dass diese Prinzipien von freier Software auch noch nicht wirklich verinnerlicht wurden. Also diese Kollaboration, dass Behörden, dass einzelne Firmen miteinander zusammenarbeiten können an einer Software, an einer Lösung und irgendwie auch natürlich zusammen das Problem der Sicherheit angehen können. Und ich glaube, dass das der allererste wichtige Schritt ist. Ich glaube nicht, dass es überhaupt nirgendwo passiert. Es gibt tolle Beispiele für Softwareprojekte, dass die Kollaboration gut verstanden wird, wo freie Software gut verstanden wird. Aber ich glaube, hier müssen wir noch sehr aufholen als freie Software-Community, aber auch natürlich von der Behörden-Seite, von der politischen Seite, das besser zu verstehen. Und ich glaube, dann wird auch erst möglich, dass IT-Sicherheit irgendwo verstanden wird und auch so umgesetzt wird, wie ich es jetzt in den letzten Minuten veranschaulich habe. Genau. Wie wird das rote Plakat leider schon wieder gezeigt? Nein.