 Wer maintained eigentlich Alpine Linux oder dieses eine NPM-Modul, was ein paar Millionen Projekte benutzen? Und bekommen die Leute dafür genug Unterstützung von der Gesellschaft für diese wirklich systemrelevanten Aufgaben? Thomas Bricke ist Opensource-Berater und beschäftigt sich schon seit Jahrzehnten mit Linux und Opensource. Im nächsten Vortrag erzählt er uns, wie das so funktioniert mit der öffentlichen Finanzierung von Opensource-Projekten und wie das mit der nächsten Bundesregierung weitergeht. Viel Spaß. Ja, vielen Dank für die Einladung und dass ich hier also mal ausnahmsweise wieder live einen Vortrag halten kann und auch richtig gute Technik vor mir sehe und richtig gute Techniker. Das ist so die Selbstvorstellung, der geben wir einfach mal drüber hinweg. Was ist die Motivation eigentlich für diesen Vortrag? Was wollen wir machen? Und das werde ich euch erklären und dann werde ich euch vier Beispielprojekte vorstellen. Dazu gehört nicht Apache und Lock4J, was jetzt hochgekommen ist. Dann werden wir über die Probleme im Opensource-Development reden, also was wir da so sehen. Ich werde den saveren Töchfond vorstellen und dann am Ende haben wir noch verschiedene Aspekte, die ich ein bisschen beleuchten werde. Wichtig zu sagen ist, diese Initiative ist tatsächlich im Wesentlichen von anderen Leuten gemacht worden. Hier Adriana Gro hat mich irgendwann eingeladen, einfach in 14 Tagen eine Studie zu schreiben. Eileen Wagner ist noch zu erwähnen, Fiona Krakenberger, Julia Reda, Katarina Meyer und ganz im Hintergrund hat sicherlich auch Marco Alexander Breit noch was dazu beigetragen. Und weitere Leute waren noch Tara Tarakie, Susanne Proboscht und ich habe da also wirklich nur an 14 Tagen mitgearbeitet, aber es haben doch einige Aspekte von meiner Arbeit in die Studie geschafft. Ich bin dafür tatsächlich auch bezahlt worden als Nebenjob, das war Ende August, Anfang September. Das sollte man glaube ich immer erwähnen. Die Beispiele, die ich bringen werde, sind meine tägliche Erfahrung. Das heißt, wenn ich hier Projekte ausgewählt habe, dann deswegen, weil ich die selber kenne, weil ich die benutze und weil ich damit jeden Tag umgehe, das ist jetzt keine Priorität in irgendeiner Weise. Also ich nehme hier nicht vorweg, was gefördert werden soll, sondern das ist einfach meine persönliche Auswahl, was so in den letzten Jahren einfach über meinen virtuellen Schreibtisch geflattert ist. Wir hatten ja schon von Illet vorhin gehört, digitale Souveränität. Das ist ein nicht völlig unproblematischer Begriff. Weil er auch vor allen Dingen unscharf benutzt wird, also digitale Souveränität. Was ich daraus immer lese oder was ich da rein lese, ist erstmal brauchen wir digitale Kompetenz. Ohne Kompetenz können wir nicht Souverän sein. Dann gibt es immer diesen Begriff, diese Unschärfe, ist es jetzt die Souveränität der Regierung. Die alte Regierung, besonders das Innenministerium, hat da sehr viel Souveränität der Regierung reininterpretiert. Und das steht im Widerspruch zur individuellen Souveränität, also die Freiheitsrechte, die wir eigentlich meinen. Für mich ist die digitale Souveränität eigentlich nur der Aufkleber auf einem torianischen Pferd, mit dem man Juristen erklärt, was Open Source ist und dann können die da ihren Souveränitätsbegriff darauf anwenden und innen drin ist Open Source Software. Wenn wir uns für den Vortrag darauf einigen können, haben wir, glaube ich, alles soweit ausgerichtet. Und es geht alles los mit diesem ikonischen Bild, ein Projekt, das eine Random Person in Nebraska ohne Dank seit 2003 maintained und darauf baut alle unsere moderne Infrastruktur auf. Tatsächlich folge ich zufällig der Person, die da gemeint ist, das ist Ariadne Cornel, die lebt in Oklahoma, aber das ist ziemlich nah dran und die hat sich auf dem Tweet auch dann geoutet. By the way, das ist, ich bin die Person, die auf dem Bild gemeint ist und, naja, Oklahoma und Nebraska sind nah genug aneinander. Das heißt, wir haben das Problem, dass wir digitale Infrastrukturen und im Prinzip zählen dazu ganze Ökonomien haben, die von einzelnen Personen abhängen, die das sehr professionell in ihrer Freizeit machen oder als Site Project, kann man sagen. Es ist eigentlich wert, auch mal zu erwähnen, was macht Ariadne Cornel sonst? Nun, sie ist sehr tief involviert in Alpine Linux. Das werden die meisten Leute von euch nicht kennen, weil das halt nicht auf dem Desktop läuft. Das ist eigentlich ein Embedded Linux, enthält keine GLEB-C, weil es auf Größe optimiert ist und die GLEB-C ist einfach zu groß für kleine Systeme. Die haben ihre eigene GLEB-C geschrieben, libmüsel, da sind nur 8 Megabyte und Top of the Colonel. Das heißt, wenn ich das in Container-Umgebungen verwende, sind das praktisch sehr, sehr kleine Container. Das sind nicht die Gigabyte-Container, die man normalerweise von den großen Herstellern bekommt, sondern Container im Megabyte-Bereich. Das kommt alles aus der Linux Embedded Appliance Firewall. Das heißt, es waren sehr kleine Embedded-Systeme, die verwendet werden sollen. Verwendet auch kein SystemD. Ich habe also nichts persönlich gegen SystemD. Es ist aber einfach sehr groß für kleine Systeme. Und weil es containerfreundlich ist, ist es auch noch zusätzlich einfach zu härten, weil da ist einfach nichts drin. Wenn etwas nichts enthält, kann ich auch nichts angreifen. Das ist also mein persönlicher Grund, warum ich versuche, Container-Projekte auch auf Alpine auszurichten. Und im Tweet nebenbei, also in dem Thread, wird dann erklärt, was sie so gemacht hat. Also Package-Config ist das älteste Lib-My-Context. Das sind Dinge, die man außerhalb der Entwickler-Community, die also diese Wildsysteme auch betreut kaum kennt. Also in dem Sinne ist sie wirklich völlig unbekannt, aber natürlich verdienen sie auch dementsprechend diese Helden und Heldinnen verdienen alle Beachtung. Was man auch immer wieder sieht ist, und das sagt sie auch, es gibt Probleme mit dem Funding. Es gibt immer wieder Probleme mit dem Funding, also eine Finanzierung läuft aus, dann übernimmt hier in dem Fall auch mal Google, weil Google auch sehr viel Geld hat, um Container-Technologien zu unterstützen, aber das endet natürlich auch irgendwann. Also wenn ihr Alpine-Linux nicht kennt, ist das sicherlich eine gute Möglichkeit, mal ein sehr kleines Linux sich anzugucken. Warum ist das noch wichtig? Nun, Container-Härtung ist sehr wichtig, das werde ich in dem nächsten Vortrag noch erzählen. Die deutschen Regierungen und Verwaltungen werden im nächsten Jahr, wenn die Projekte aus dem IT-Planungsrat, um das Online-Zugangsgesetz, das bisher nur auf dem Papier entsteht, das ist also ein Gesetz, das alle digitalen Leistungen umfassen soll. Es ist also je nachdem wie ich das Messe ist, ist entweder schon sehr weit in der Planung oder ist es so gut wie nichts ausgerollt, also da ist die Metrik schon unklar, da werden also Container in großer Anzahl ausgerollt, also in unsere eigenen öffentlichen Infrastruktur. Container laufen übrigens inzwischen in allen kritischen Infrastrukturen, also das was in Deutschland so unter das Kritisgesetz fällt, das ist Elektrizität, Kraftwerke, es gibt praktisch keine Anwendungen mehr im Steuerungssegment von elektrischen Anlagen, die nicht als Container ausgerollt wird. Das letzte Talk wird mein nächster sein, weil wir die Reihenfolge getauscht haben. Wichtig bei Alpine ist auch noch, es wird von Google unterstützt, weil Google mit Kubernetes halt die Containerindustrie losgetreten hat. Das ist aber auch nicht der einzige, den es hier im Prinzip mal zu Ehren gilt, das ist Ernest Durbin, der ist der Mensch hinter PIPI, das ist das Python Repository, wo die ganzen Python Pakete drin sind, er lebt glaube ich auch in Oklahoma und macht das im Nebenjob, das heißt es ist nicht sein Hauptjob 435 Pakete zu betreuen. Nun, Python ist nach irgendeinem dieser Indizes jetzt die Nummer 1 der Programmiersprachen, läuft praktisch überall, ich lese es manchmal so ein bisschen, das ist das Visual Basic des Internet, das ist, weil es halt so einfach ist, benutzt es jeder, es läuft in Mikro-Controller, es läuft in AI-Systemen und mit AI-Systemen läuft es auch in kritischer Infrastruktur, wenn ich also Entscheidungen treffen möchte, die auf KI berufen, ist es sehr, beruhen ist es sehr wahrscheinlich, dass ich da Python Pakete drin habe, das ist mir tatsächlich im Projekt begegnet, wir haben dann mal geguckt und haben gesehen, da wird auch massiv von PIPI runtergeladen und diese 435.000 Packages macht Ernest im Nebenjob, das ist also nicht sein Hauptjob. Wer von uns würde 435.000 Projekte nach Feierabend betreuen, das ist also ein tatsächlich wirklich unterbesetztes Projekt. Wenn man in die Historie kommt und da ist mir das auch zum ersten Mal begegnet, da gab es sogenannte Typosquadding Attacks, das heißt Leute laden da einfach in dieses Repository Pakete hoch, die so ähnlich klingen wie existierende Pakete und wenn man dann einen Tippfehler macht, dann handelt man sich irgendwelche Malware ein. Aktuell gibt es auch Probleme um Dependency Confusion, das heißt ich lade da irgendein Paket hoch mit einer sehr, sehr hohen Versionsnummer und dann wird das den anderen Paketen, die existieren, schon vorgezogen. Das heißt, was wir hier brauchen sind zusätzliche Security Checks, das machen inzwischen kommerzielle Pakete, die machen das mehr oder weniger gut. Was ich hier sage, gilt auch für andere Programmiersprachen, also Ruby, Gems und NPM sind da tatsächlich auch betroffen, da sind im Grunde dieselben Angriffe möglich. Ernest hat auch gleich einen Vorschlag, der allerdings umgesetzt werden müsste, wir könnten virtuelle vertrauenswürdige und auditierte Suppropositorie machen. Das heißt, wir picken uns aus den 435 Paketen einen relevanten Subset raus und managen das Ganze auf vernünftige Art und Weise, also wir auditieren die und packen die also in einem virtuellen Suppropositorium zusammen. Das müsste implementiert werden, das ist also wirklich etwas, was man auch nicht nebenbei machen sollte. Das braucht also wirklich auch Architekturunterstützung. Peißen, wo läuft das überall? Ich hatte es schon erwähnt. Stock exchange Systeme, also Börsenhandel läuft da drüber. Energiebörse hatte ich tatsächlich selber ein Projekt dazu und überall, wo das Label künstliche Intelligenz draufklebt, ist wahrscheinlich irgendwo Peißen drin. Gut, das sind also jetzt zwei Beispiele aus den USA. Jetzt kommen zwei Beispiele aus Deutschland, was wir auch sehen, ist, wir haben auch viele Open Source Entwickler in Deutschland. Also wir haben Kompetenz hier im Land, die mehr oder weniger gewürdigt wird. Einer von den Leuten, die hier ein Projekt am Laufen halten, das ist Werner Koch mit dem mit GPG. 2015 war er auch Running Out of Funds, wie es so schön heißt. Das heißt, er hat eine kleine Firma, die das Ganze unterstützt. Aber kleine Firmen haben immer das Problem, wenn die Auftragslage schwankt, muss ich entweder die neue Entwicklung einstellen oder ich muss auf Vorrat Entwickler einkaufen oder Entwicklerinnen. Das ist natürlich ein Problem, was ein dauerhaftes Finding braucht. Es gibt ein Business-Modell dahinter, nämlich einfach Support, macht auch Support für das BSI an der Stelle, aber das Ganze braucht eine dauerhafte Unterstützung. Das ist ein Beispiel hier aus der Seabase, deswegen habe ich das auch in der Seabase angemeldet. K9 Mail ist entwickelt worden von Christian Ketti, der hat hier den Android-Stammtisch mitgegründet. Das gibt es tatsächlich schon seit 2009, das ist also eine verschlüsselnde E-Mail-Lösung für Android. Es ist ein Einzelprojekt, er macht das im Wesentlichen allein, wenn man sich die Git hab'-Commit-Historie anguckt. Die meisten Commits sind von ihm. Es gibt noch Beiträge von anderen Leuten, aber er hat glaube ich die absolute Mehrheit. Das heißt, auch solche Leute müssen wir berücksichtigen, wenn wir an Finanzierung und Open Source denken. Was hier jetzt völlig fehlt und was ich auch bei der Studie nicht auf dem Schirm hatte, war die Apache Foundation. Rechts sehen wir die Selbstdarstellung der Apache Foundation und die ist natürlich schon erstmal beeindruckend, was wir alles an Code geschrieben haben, wie viel Committer es gibt, Contributoren und so weiter. Java ist tatsächlich auch ein professionelles Ökosystem. Da ist überall Enterprise-Software, die darauf aufbaut. Dann hab' ich gedacht, okay, wenn eine Open Source Community kein Problem hat, dann die Java-Community. So eine Eve kann man tatsächlich sein. Und dann kam Lock4J. Also wir haben es nicht berücksichtigt in dieser Studie nicht, weil es nicht wichtig ist, sondern weil es so gut aussah, so etabliert und gut ausgestattet. Und niemand hätte gedacht, dass hinter Projekten, wo auch Backing ist, vom Oracle IBM SAP Red Hat, dass da solche Sachen durchrutschen wie Lock4J. Man kann einfach nicht in jede Ecke gucken. Und tatsächlich ist Lock4J mit der Sicherheitslücke jetzt der Grund, warum wir alle noch mal nachdenken müssen, wie wir mit dem Funding weiter gucken, weil die Lock4J-Lücke betrifft schätzungsweise ein Drittel des Internets. Und das ist schon so ziemlich die größte Lücke, die wir bisher haben, also im Sinne von Blastradius-Zerstörungsumfang. Und tatsächlich wieder das selbe Bild. Es gibt drei Maintainer von Lock4J und die machen das in ihrem Nebenjob. Und die schreiben auch tatsächlich, ja, wir würden gerne Open Source Entwicklung hauptamtlich machen. Aber ja, wir brauchen halt noch ein Dayjob, um das Ganze durchzubringen. Also wir können das nicht hauptamtlich betreuen, weil wir auch von irgendwas leben müssen. Und das sind alles sehr professionelle Leute, aber die können sich halt nicht dieser Aufgabe hauptsächlich widmen. So, das heißt, wir haben jetzt hier vier Projekte, die sehr unterschiedlich sind, wenn Apache sogar fünf in Projektgröße, also größte 435.000 Pakete, das kleinste K9-Mailer, ein einzelner Entwickler von der Nummer 1 Programmiersprache nach Tiobe-Index und alles, was dazwischen ist. Wir haben alles betroffen auf der Skala vom Mikrocontroller und Supercomputern. Wir haben so wie das in der Kritikalität angegangen wird, Projekte, die als Fun-Projects gestartet sind, also wirklich Spaßprojekte nach Feierabend und die laufen jetzt in kritischer Infrastruktur. Wir haben alles am Payment zwischen Hobbyisten, Part-Time-Paid, also Teilzeitarbeit und Vollbeschäftigten. Das heißt, wir müssen, wenn wir etwas fördern wollen in die Richtung, müssen wir idealerweise ein Instrument schaffen, das im Prinzip das alles abdeckt. Und es gibt noch viel mehr Dimensionen, also es gibt ja auch noch, wenn man sich das anguckt, die Leute haben alle einen unterschiedlichen Hintergrund, die kommen auch alle aus unterschiedlichen Communities, das sind Leute aus den USA, aus Deutschland, das muss also alles möglich sein, so was zu fördern. Was wir immer hören, erste Antwort von irgendeiner Community ist, we are well funded. Das höre ich jetzt schon seit ich irgendwie OpenStores auch mal kommerziell mir angeguckt habe. Das heißt manchmal, well funded ist, ja Oracle hat uns einen Spark-Server hingestellt, der 25.000 Euro kostet. Das heißt, wir haben unsere Projekte so weit finanziert, dass wir in der Lage sind, auch mal einen oder zwei Entwickler zu bezahlen. Das ist aber für mich nicht well funded. Das ist etwas, wo man sagen kann, ja wir können die Entwickler bezahlen, aber wir können nicht unbedingt das Ganze gut durchfinanziert betragen. Was heißt gut durchfinanziert? Nun, ich brauche Langzeitperspektiven, weil die Leute sind alle Spezialisten. Also jemand wie Ariadne Conil kann ich nicht einfach ersetzen, mit dem Wissen, die kann nicht einfach daraus genommen werden und durch einen x beliebigen Konsultant ersetzt werden. Wir brauchen, das fehlt in vielen Projekten, Code Reviews. Wenn man jetzt das erste Mal in einem Projekt eine Sicherheitsüberprüfung oder ein Code Review macht, was das lange Zeit nicht gehabt hat, dann ist das so, als wenn man einen alten Keller aufräumt. Man findet unendlich viele Dinge und das überfordert die Projekte. Das heißt, wir brauchen jenseits von Coding Ressourcen in den Projekten. Wir brauchen Wartung, wir brauchen Backfixing, wir brauchen aber auch simple Dokumentationen und automatische Tests. Code Reviews kann ich machen, aber wenn ich keine Entwickler habe, um die Findings von dem Code Review in den Projekt unterzubringen, dann erzeugt das einfach nur schlechte Laune. Ja, wir haben ja gewusst, dass wir so schlecht sind und wenn dann was passiert, dann ist man an der Stelle, dann ist man an der Stelle einfach auch nicht viel weiter. Was man allerdings auch sieht, ist, wir müssen an einigen Stellen an die Architektur. Also, was dabei Java rumgeschlummert hat im Untergrund dieses GNDI, diese Sicherheitslücke kommt halt aus Zeiten, wo Java darauf für gedacht war, Video-Rekorder oder, nee, was war das, Blu-Ray-Abspieler oder sowas zu betreiben und aus dem Hintergrund noch ein paar Klassen nachzuladen. Dasselbe, selben Architektur-Flows sehen wir in Kubernetes. Da ist einfach aus Bequemlichkeit für die Entwickler überall ein Service-Account-Token drin, das wird in dem nächsten Vortrag noch kommen. Und was ich auch gemerkt habe ist, wenn wir das Ganze ernst nehmen, müssen wir auch Kommunikation mitdenken. Das heißt, was ich gemerkt habe, wenn ich diese ganzen Sachen angesprochen habe mit den Entwicklern ge-mailt oder eine Videokonferenz gemacht habe mit den Entwicklerinnen, dann ist Kommunikation in den Projekten ein Full-Time-Job. Das heißt, ich kann nicht gleichzeitig Backfixen, Maintenance machen und dann noch die Kommunikation. Das versuchen einige und das führt dann auch dazu, dass ich den Eindruck hatte, praktisch alle Leute, mit denen ich gesprochen habe, sind jetzt nicht unbedingt im Burnout, aber die sind schon jenseits von dem, was man für eine gesunde Arbeitsbelastung halten sollte. Also da müssen wir tatsächlich rein, das muss tatsächlich alles unterstützt werden. Ich habe Architektur-Flaus gesagt und das sind so, die ich jetzt hier einfach mal aus dem Kopf unterschreiben kann, dass meiste bei den Architektur-Geschichten ist, dass Entwickler einfach nicht an Confinement denken. Das heißt, die denken nicht, dass ihre Prozesse isoliert werden müssen. Wenn die Log4J-Schnittstelle oder wenn Log4J isoliert gewesen wäre, dass der also auch gar nicht nach Hause telefonieren kann, dann wäre das alles nicht so schlimm gewesen. Wir haben also hier an einigen Ecken wirklich nicht die Isolierung, die wir haben müssten. Das trifft leider auch Kubernetes, aber was jetzt ein neueres Problem ist, aber das ist halt generell so. Wir führen viel zu oft einfach untrusted Code aus. Also sobald wir irgendwie Curl, Pipe, Shell machen, dann haben wir tatsächlich das Problem, dass wir da irgendetwas haben, was an der Stelle ausgeführt wird aus einer unbekannten Quelle. Was wir auch nicht hinbekommen, ist Code zu signieren. Das geht an einigen Stellen ganz gut. Also die DB and RPM Packages und die ganzen Package-Systeme sind signiert, aber wir haben zum Beispiel so was Simples nicht mitgedacht, dass J&DI eigentlich nur signierte Klassen ausführen sollte oder dasselbe in Kubernetes, Kubernetes kann so eingestellt werden, dass es nur signierte Container ausführt. Das sollte man tatsächlich auch machen. Hier sind also Beispiele dafür, wo ich einfach ohne, dass ich es merke, ohne dass mir das einfach bewusst ist, unsignierten Code ausführen. Also Qubectl, apply-f von irgendeiner Webseite. Das bedeutet, ich führe Code aus, den ich nicht kenne. Ich könnte sogar Wordmarkos signieren, aber das ist komplett nicht üblich. Also das sind die Architekturprobleme, die wir überall haben. Überall liegen auch Service-Account-Token rum, wie gesagt, nächster Vortrag in der Cloud und in Kubernetes. Ein altes Problem, was wir auch nicht mehr loswerden, ist, dass wir pausenlos Code und Inhalt mischen. Es geht schon in GoScript los vor 30 Jahren. Da musste man schon beim Bauen von GoScript ausschalten, dass es keine Schellbefehle ausführt. Ja, Was-Crypt hat dieses Problem auch. Wo wir auch ganz schlecht sind, muss man ehrlich sagen, ist der Certificate Lifecycle. Dass wir also nicht sicher sind, wann unsere Certificate ablaufen, wie wir sie ersetzen. Wir können im Grunde alles signieren. Auch ganze Deployment Chains können signiert werden, aber wir müssen das eben durchziehen. Wir brauchen auch da eine ingenörsmäßige Einstellung, dass wir sagen, ja, wir machen alles, was wir machen, nur mit signierten Sachen. Also ein positives Beispiel ist Letzten-Crypt. Das ist dieser RFC 8555. Damit können wir Sicherzertifikate aussauchen. Seitdem das um sich greift, wird also HTTPS auch fast ausschließlich genommen und wir haben auch kein Problem mehr im Zertifikatsmanagement. Jedenfalls nicht so im großen Stil wie vorher. Wir könnten auf die Idee kommen, dass es nicht die Aufgabe des Referentech-Fonds, das alles neu zu schreiben und zu ersetzen. Es gibt also AG. Das ist also die Go-Version von GPG. Es gibt auch die Rast-Version, wahrscheinlich heißt sie Rage. Aber das löst alles nicht unser Key-Lifecycle-Problem. Also das hat Letzten-Crypt-Positiv vorgemacht mit ASME. Und das macht auch gerade Six-Store-For. Also Six-Store-Dev ist ein Projekt, das sich um das Signieren von Artefakten im großen Stil kümmert. Dass sich also im Prinzip alles, was aus einer Deployment-Chain oder einer Supply-Chain rausfällt, signiert habe. Das müssen wir also auch noch einführen. Das ist aber jetzt nicht die Aufgabe des Fonds, sondern das sind eigentlich Projekte, die noch over the top kommen. Dann müssen wir auch schauen, wir können das Ganze wahrscheinlich auch hebeln, weil immer, wenn man sowas anspricht, die großen Enterprise-Firmen haben überhaupt kein Problem, 5 Prozent ihrer Projektkosten in Open Source Maintenance zu investieren. Das müssen wir halt vernünftig anzapfen. Also das wäre noch eine Aufgabe über den Fonds hinaus, dass wir an der Stelle auch diese Ressourcen managen und hebeln können. Was eigentlich jetzt hier in Deutschland nach den Aussagen von Honkhase selbstverständlich ist, ist, dass wir so erst nicht zurückhalten. Das heißt, wir brauchen auch die Prozesse, die ein Responsible Disclosure machen in den Open Source Projekten. Das heißt, es muss klar sein, die Communities setzen selber ihre Responsible Disclosure Prozesse auf. Und das wird jetzt nicht vom BSI zurückgehalten. Negatives Beispiel, China hat gerade, also das Industrieministerium hat Alibaba gerade abgedeckelt dafür, dass sie zuerst an die Apache Foundation das Ganze reportiert haben und nicht an ihr eigenes Ministerium. Das ist also ein Beispiel, was überhaupt nicht geht. Die Projekte müssen selber ihre Sicherheitslücken verwalten und nicht irgendeine Regierungsorganisation, die dann vielleicht das Ganze noch erst mal zurückhält, um Angriffe zu machen. Also der Lok for J-Bug war mit Sicherheit einigen Leuten schon viel, viel länger bekannt, als er jetzt in der Öffentlichkeit aufgefallen ist. Also hier ist jetzt dieser Soverein Techfonds, der seit ja gut einem Jahr von den Mitarbeiterinnen von der Open Knowledge Foundation und anderen ins Leben gerufen wurde. Hier ist das Mission Statement. Das heißt, es geht klar um Entwicklung, Verbesserung, Instalthaltung von offenen Basistechnologien. Es soll also auch nachhaltig sein. Es soll jetzt nicht so etwas sein wie ja, ich mache jetzt mal eine Kampagne, was wir sehr oft von der EU hatten. Wir machen so ein Phasenprojekt, Phasen 2020, 80 Seitenantrag und dann nach einem Jahr kommt eine Finanzierung und dann läuft das drei Jahre und dann verpufft das Ganze. Nein, das muss nachhaltig aufgesetzt werden. Das heißt, es muss im Prinzip stetig auch passieren. Fokus ist Sicherheit, Resilienz und technologische Vielfalt. Und ganz wichtig ist, es geht auch um die Menschen hinter den Projekten. Also es nutzt uns nichts, wenn wir jetzt hier die neuste tolle Technologie einführen und die Menschen hinter den Projekten nicht mitnehmen. Das heißt, wir müssen auch dafür sorgen, dass die Menschen, die diese Projekte maintainen und am Leben halten, auch Teil ihres Unterhalts oder ihren gesamten Unterhalt damit bestreiten können. So, das ist das Design, was da rausgekommen ist. Es ist also ein Push-Pull-Design. Das heißt, es wird geschaut. Es wird ein Grymium geben, was erstmal eine Datenbank förderfähiger Softwarekomponenten aufbaut. Das klingt erstmal sehr technisch. Das heißt, es müssen erstmal Mieträgen entwickelt werden. Wann ist eine Komponente eigentlich kritisch? Das muss im Dialog mit der Community stattfinden. Ich kann jetzt nicht einfach sagen, du bist jetzt kritisch und gib da Geld rein, sondern da muss eine Community auch sagen, das sehen wir auch so. Das heißt, es wird auf die gängigen Communities zugehen, die Apache Foundation, Linux Foundation und die anderen. Es gibt aber auch die Möglichkeit, sich offen zu bewerben. Wenn man also selber sagt, ja, ich habe hier was beizutragen, es gibt also einen zusätzlichen Auswahlprozess. Dann gibt es eine Umsetzung und die kann über Partner gehen, muss aber nicht. Das kann in eine Einzelförderung münden. Es kann ein Team, also ein kleines Unternehmen sein, was das Ganze macht mit externer Expertise. Es kann aber auch ein großer Unternehmen sein, was das Ganze als Subvention bekommt. Das ist also alles möglich. Das wird sicherlich nicht völlig reibungsfrei ablaufen, sowas zu implementieren, aber es ist tatsächlich eher ein Prozess, der alles abdeckt und anders kann man den auch an der Stelle gar nicht aufsetzen. Also, es ist jetzt tatsächlich sehr offen. Beratung und Bewilligung sollen niedrigschwellig sein. Also, es wurde gleich gesagt, ja, wir haben keine Lust hier Anträge zu schreiben, noch neben unserer Arbeit, die wir ehrenamtlich machen nebenher, sondern es muss eine niedrigschwellige Beratung und Bewilligung stattfinden. Das heißt, es muss klar sein, ja, ihr seid, ihr liefert einen Beitrag zur Open Source Infrastruktur und das muss dann auch umgesetzt werden. Es muss natürlich ein Reporting geben, weil man sonst Türen aufmacht für den Missbrauch, aber tatsächlich ist das Ganze so angelegt, dass wir jetzt in der Lage sind, wenn das Ganze so umgesetzt wird, wie das hier auf dem Papier ist, einen Fonds aufzusetzen, der niedrigschwellig in verschiedenen Varianten Projekte unterstützen kann. Mein Kommentar dazu ist, das ist erstmal ein guter Startansatz. Also, wir unterstützen keine Innovation, jedenfalls nicht vordergründig, sondern Basistechnologie. Wir sollten überhebeln nachdenken. Wir haben eine weite Bandbreite von Projekten abgedeckt. 10 Millionen sind erst mal ein guter Startpunkt. Also, mehr macht erst mal nicht Sinn, weil man muss das Geld ja auch erst mal ausgeben können. Man muss das erst mal aufsetzen. Wenn man das vergleicht mit den Schäden, die entstanden sind, jetzt Log4j, es gibt noch keine Bilanzsumme, aber ich würde schätzen, allein in Deutschland bis heute 100 Millionen, wenn ich mir die Überstunden angucke, die Leute leisten mussten, die jetzt diese Lücke fixen, was mir in Konferenzen alle Leute gesagt haben, dass sie einfach verschwunden sind und einfach an 14 Tage nicht ansprechbar waren, weil sie ihre Infrastruktur fixen mussten, dann ist das eine Zahl, die ich für sehr wahrscheinlich halte. Das kann auch noch teurer werden. 20 Projekte zu unterstützen, wie in dem Form vorgeschlagen ist, erst mal eine gute Idee. Das könnte man natürlich sagen, okay, wenn ich mir andere Projekte angucke, und hier ist ein Tweet von Lilith, wird man wieder mal, ja, wir haben auch an einigen Stellen viel mehr Geld investiert in Sachen, die sich dann nicht ausgezahlt haben, um es mal ganz neutral zu sagen. Also die ID-Projekte, die Blockchain-Projekte haben sich bisher nicht ausgezahlt und da sind 50 Millionen insgesamt reingegangen und davon haben wir erst mal noch nichts gesehen. Wenn wir das vergleichen mit anderen Fonds, also der OpenSSF, die sich um OpenSSL kümmert, also eine Tochter der Linux Foundation, dann hat die auch so an die 10 Millionen, der OpenTech-Fonds, der hinter dem Torprojekt steht finanziell, der hat 20 Millionen, das enthält aber auch radiofreies Asien, also im Grunde ein amerikanischer, früher hatte man gesagt Propagandasender, aber das ist also nicht nur ein Techfonds. Also das ist eine vernünftige Größenordnung, mit der man erst mal arbeiten kann und wo man einfach sieht, dieser Fonds wird, wenn er denn so kommt, auch einen wesentlichen Beitrag leisten können. Was fehlt, das habe ich schon gesagt, das ist die Innovation, alles jenseits von Blockchain. Was fehlt, sind auch neue Kryptosachen, zum Beispiel diese Privacy Preserving OpenID Connection Sachen, da sind jetzt Paper, die jetzt vielleicht anderthalb Jahre dabei sind, ist nichts dabei, was mit Theorie zu tun hat, keine Security Proves und das hätte ich alles gerne noch zusätzlich in einem anderen geförderten Projekt, wo man einfach sagt, wir holen uns jetzt die neueste Kryptografie und implementieren die einfach mal in den wichtigsten fünf bis zehn Programmiersprachen, Java, Go, Rust, TypeScript und machen das noch on the top, das ist jetzt nicht in dem Fonds enthalten, aber vielleicht kommt das ja noch. Ja, und dann dachte ich schon, oh, was habe ich hier angekündigt, ich muss jetzt hier ganz wahr gebleiben und vom 23. Dezember, 3 Uhr 42 Nachmittags, da kam dann dieser Tweet von Franziska Brandner, also eine neue Staatssekretärin im Wirtschaftsministerium, dass das angegangen wird und dass das Wirtschaftsministerium halt die Kontinuität war, dass es im Wirtschaftsministerium gestartet worden und wird jetzt von der neuen Regierung fortgeführt, das bedeutet, wir haben im Endeffekt zwei Monate in der Luft gehangen, was eine relativ kurze Zeit ist für so einen Regierungsübergang, also die Staatssekretärin Ebene wird ja gerade gefüllt und dann geht das gleich weiter und wir hoffen, dass das im nächsten Jahr klappt. Zusammenfassung, hoffentlich startet das jetzt alles bald nächstes Jahr, Open Source Security, es hat ein vernünftiges Budget, über die Details werden wir uns noch hoffentlich nicht allzu sehr streiten müssen, aber das muss halt noch definiert werden. Danke für euer Interesse und ich hoffe, das war jetzt mal ein bisschen eine positive Botschaft. Am Anfang des Kongresses. Super, vielen, vielen Dank. Ich muss mal gucken, ob wir aus dem Internet Fragen haben, sonst gibt es hier aus dem Raum Fragen, möchte irgendjemand, hat jemand im Pad das eine? Okay. Ja, gerne. Ich stelle schon mal die erste Frage und dann hole ich aus dem Pad die nächste Internetfrage und zwar, wie geht das jetzt überhaupt weiter? Also, wann ist da realistisch mit dem ersten Euro Geldauszahlung zu rechnen? Wann glaubt ihr, ob das ins Rollen, kann man da schon irgendwas abschätzen? Ich hoffe, dass es sehr schnell geht, aber natürlich müssen jetzt Stellen besetzt werden. Das Budget ist jetzt auf Staatssekretärin Ebene bewilligt, aber jetzt muss das halt noch eingetütet werden. Also, ich hoffe, dass wir erste Ergebnisse, erstes Quartal, erste Hälfte nächsten Jahres sehen. Dann muss das hochgefahren werden und dann, aber das ist jetzt reine Spekulation. Das wäre natürlich sehr schön. Wir haben hier noch eine Frage aus dem Internet. Sehr viele große Unternehmen nutzen regelmäßig sehr, sehr viele OSS-Libs und fahren damit gute Gewinne ein. Welches Modell des finanziellen Supports kann hier funktionieren? Gibt es da erforsprechende Ansätze, wie zum Beispiel Premium Supporter of OSS-Fund XYZ Siegel? Ja, das ist eine gute Frage. Also, viele wollen ja auch Beiträge leisten oder leisten Beiträge, aber haben nicht die internen Finanzierungsstrukturen. Also, es wäre gut, wenn man so ein Modell fahren würde, irgendwie ein bestimmter Prozentsatz, fünf Prozent halt auf die Projektgröße würden in diese Maintenance-Geschichten investiert. Die Zahlen sind verhandelbar, aber im Grunde sehen die Unternehmen das auch, dass wir da was tun müssen. Weil, wie gesagt, die Schadensumme von Lock 4J Shell ist so hoch, dass jede Vorsorge billiger gewesen wäre. Super, danke. Und dann vielleicht noch eine letzte Frage. Wie sieht das aus? Du hast ja hier in diesem Showbild gezeigt, der Prozess ist ja ausgedacht, wie das alles dann funktionieren soll. Ist das schon gebaut? Also ist schon klar, welche Menschen das dann umsetzen? Welche Organisationen, wo man sich, also vielleicht interessiert der Leute, die jetzt zuhören, wo melde ich mich, wenn ich da irgendwie Förderung möchte und zum zweiten, falls das Leute denken, bombiger, cool, ich suche noch einen Job nächstes Jahr. Gibt es irgendwie eine Möglichkeit selber, dass diese Organisationen aufgebaut werden, da mitzumachen, mit zu entscheiden, umzusetzen? Ich hoffe, dass das sehr schnell kommt. Aber nein, also wie gesagt, der Termin ist 23. Dezember gewesen, wann das jetzt bewilligt worden ist. Vorher wurden einfach keine Ausgaben der alten Regierung bewilligt. Also die alte Regierung hat das dann auch selber gestoppt, weil sie gesagt haben, wir wollen das nicht vorwegnehmen und jetzt ist Mittags- nach Mittags vor Weihnachten ist das halt gekommen. Also das müssen wir jetzt alle abwarten. Ich hoffe, dass es schnell kommt, weil ich denke, das Interesse wird auch groß sein. Super. Dann vielen, vielen Dank für den Vortrag. Wir sehen uns hier gleich noch mal auf der Bühne und zwar wieder Thomas mit einem Vortrag zur Kubernetes-Sicherheit, dann auf Englisch. Und dann machen wir kurz Pause und bis gleich.