© iofoto, 123RF

Obwohl quelloffene Kryptosoftware praktisch überall auf der Welt zum Einsatz kommt, sind die Projekte dahinter häufig klein und chronisch unterfinanziert. Doch seit Heartbleed gibt es Aussicht auf Besserung.

Quelloffene Software hat den Vorteil, dass jedermann den Code inspizieren kann und so Fehler schneller auffliegen. Dennoch schlummerte in Open SSL [1] über zwei Jahre lang eine eklatante Sicherheitslücke, die schließlich als Heartbleed-Bug in die Geschichte einging [2]. Obwohl der Quellcode von Open SSL offen liegt, hat scheinbar niemand das Problem bemerkt – weil kaum jemand danach gesucht hat.

Nun würde so ein Bug nicht weiter auffallen, wäre nicht die Benutzerbasis von Open SSL so riesig. Millionen Privatanwender und sehr viele Firmen verlassen sich auf ihre Kryptosoftware. Sie soll die Sicherheit teils millionenschwerer Projekte gewährleisten, ihre Entwicklung liegt jedoch in den Händen weniger Programmierer. Wie im Falle von Gnu PG [3] pflegt mitunter nur eine einzige Person die umfangreiche Codebasis.

Sicherheitsrelevante Tests und Inspektionen sind aber zeitaufwändig und erfordern oft einen Vollzeitjob. Um die Qualität des Quellcodes zu steigern, müssten also weitere Entwickler und Tester her.

Wenig spendabel

Gerade in den kleineren Projekten fehlt jedoch das Geld für entsprechende Vollzeitstellen, sie decken ihre Ausgaben durchweg über Spenden. Egal ob Open SSH oder Gnu PG – auf fast jeder Projekthomepage findet sich ein Button, über den Nutzer ein Projekt per Kreditkarte oder Paypal unterstützen können. Die so eingesammelten Gelder reichen jedoch bei Weitem nicht aus, um einen oder gar mehrere Entwickler zu bezahlen.

Laut Linux Foundation erhielt das Open-SSL-Projekt pro Jahr gerade mal rund 2000 US-Dollar an Spenden [4]. Diesen Betrag nennt auch Steve Marquess, zuständig für die Finanzen bei Open SSL [5]. Der Maintainer von Gnu PG (siehe Kasten “Interview mit Werner Koch”) nahm 2013 knapp 5000 Euro Spenden ein – brutto wohlgemerkt. Paypal verlangt noch Bearbeitungsgebühren, auch das Finanzamt möchte mitunter einen Teil abzweigen.

Interview mit Werner Koch

Werner Koch ist Gründer und Maintainer von Gnu PG und arbeitet seit 1997 an der freien Implementierung des Open-PGP-Standards.

Linux-Magazin: Wie finanziert sich das Gnu-PG-Projekt hauptsächlich?

Werner Koch: Die ersten Jahre habe ich die Entwicklung aus meinen Ersparnissen und einem Consulting-Job, den ich vorübergehend annehmen musste, bezahlt. 2001 hatte ich G10 Code gegründet, um die Entwicklung auf gesunde Füße zu stellen. Das Ziel war, Supportverträge zu verkaufen und bezahlte Entwicklungen zu akquirieren. Das lief anfangs recht gut an, doch seit einigen Jahren ist nichts mehr über – offensichtlich fehlen die Supportfälle.

Die Entwicklungen für Kunden haben das meiste Geld gebracht. Hier sind insbesondere die gewonnenen Ausschreibungen des BMI [Bundesministerium des Inneren, Anm. d. Redaktion] zu nennen und die damit beauftragten Entwicklungen des S/MIME-Teils. Als Kollateralgewinn konnte ich den Open-PGP-Teil, also das eigentliche GPG, gegenfinanzieren, einen Vollzeitentwickler über viele Jahre beschäftigen sowie zeitweise zwei weitere Teilzeitangestellte. Seit 2011 ist das aber alles weggebrochen und ich musste Ende 2012 meinen langjährigen Angestellten leider entlassen.

Spenden werbe ich erst seit 2011 ein. Damit kann man noch nicht wirklich etwas am Laufen halten, aber es gab auch nie eine wirkliche Spendenkampagne. Das BMWA/BMWi [Bundesministerium für Wirtschaft und Arbeit] hatte 1999/2000 die Portierung auf Windows inklusive der Erstellung weiterer Tools als Leuchtturmprojekt für den neuen Masterplan Internetsicherheit mit 319000 DM (umgerechnet 137000 Euro) gefördert.

Projekte mit dem BSI wurden immer per Ausschreibung eingeworben. Der letzte Auftrag des BSI kam 2009 für Gpg4win, Version 2. Im Jahr 2013 haben wir eine Förderung von 25000 US-Dollar von einer amerikanischen NGO erhalten, um Arbeiten an Gpg4win durchzuführen. Wie bei Gpg4win-Projekten üblich habe ich das mit Partnerfirmen zusammen gemacht.

Linux-Magazin: Wie verwenden Sie das Geld? Rein für den Betrieb der Rechner?

Werner Koch: Die beiden Gnu-PG-Server sponsert Open IT. Es fallen also im Wesentlichen Lohnkosten an. 2013 waren das insgesamt 32000 Euro, die G10 Code zu bilanzieren hatte. Man kann sich dann ausrechnen, was für ein Nettogehalt bei mir herausspringt. Für dieses Geld zu arbeiten geht aber wirklich nicht mehr so weiter. Vor Juni 2013 war ich drauf und dran, die ganze Sache aufzugeben.

Linux-Magazin: Gnu PG hat auch eine Crowdfunding-Kampagne angestoßen. Warum ausgerechnet Crowdfunding und warum fiel die Wahl auf Goteo als Plattform?

Werner Koch: Der Kampagnenmanager, der mir empfohlen wurde, hat das ausgewählt. Im Nachhinein bin ich damit nicht zufrieden gewesen. Die Leute hinter Goteo sind zwar sehr bemüht, aber es fehlt viel. Ich habe noch mehrere Wochen in die Nacharbeit stecken müssen. Das fängt bei so simplen Sachen an, dass die Plattform es nicht ermöglicht, T-Shirt-Größen direkt abzufragen, und endet mit inkonsistenten und falschen Daten, die sie geliefert hat. Aber es war sicherlich ein großer Erfolg und hat mich bestärkt, mich weiter für Gnu PG zu engagieren. Immerhin weiß ich, wie ich die nächsten paar Monate mein Gehalt zahlen kann.

Linux-Magazin: Welche Erfahrungen haben Sie mit den unterschiedlichen Finanzierungsmodellen gesammelt? Gibt oder gab es Probleme? Würden Sie erneut eine Crowdfunding-Kampagne starten?

Werner Koch: Spenden über Paypal kommen nach einer Release immer wieder mal rein. Allerdings ist Paypal teuer und eine Datenkrake. Deswegen ist es jetzt möglich, auch direkt per Kreditkarte zu spenden.

Die Crowdfunding-Plattformen sind eine gute Sache, aber keine Lösung für eine dauernde Finanzierung, obgleich es mittlerweile auch darauf spezialisierten Plattformen gibt. Sie sind recht teuer (Goteo nimmt zirka 8 Prozent), weshalb unser Ziel von Anfang an darin bestand, eine eigene Spendeninfrastruktur aufzubauen. Für bestimmte, klar definierte Projekte würde ich wieder ein Crowdfunding machen. Allerdings nur mit einem Manager, der das wirklich gut und selbstständig umsetzt. Also jemandem, der dauerhaft im Gnu-PG-Projekt eingebunden ist. Oder kurz gesagt: G10 Code ist momentan zu klein, um eine weitere Kampagne zu stemmen.

Linux-Magazin: Was würden Sie sich mehr wünschen: Mehr Geld oder mehr helfende Hände?

Werner Koch: Beides. Das Einarbeiten und Koordinieren mehrerer Entwickler ist sehr zeitaufwändig. Diesen Aufwand können ich oder wir uns erst leisten, wenn wir uns keine Sorgen mehr um den Lebensunterhalt machen müssen. Aber notwendig wäre es schon. Auch im Sinne der Zukunftssicherung für die Software – es kann ja sein, dass ich irgendwann keine Lust mehr habe oder aus anderen Gründen nicht weitermachen kann.

Linux-Magazin: Was würden Sie machen, wenn Sie genug Geld zur Verfügung hätten? Glauben Sie, dass dann Ihre Software sicherer würde?

Werner Koch: Kontinuierlich gewartete Software ist sicherer. Wir könnten dann auch mit gutem Gewissen weitere Tests schreiben und bestimmte Teile des Codes überarbeiten.

Open SSH und Open SSL haben zusammen mit 362000 Codezeilen etwa denselben Codeumfang wie Gnu PG, letzteres lag zusammen mit GPGME im Jahr 2011 bei ungefähr 345240 Codezeilen. Wobei wir in Gnu PG auch noch die Branches 1.4 und 2.0 aktiv bearbeiten, hinzu kommen dann noch Keymanager, Windows-Tools und so weiter.

Nebenjobs

Die mageren Spenden versuchen die Projekte auf unterschiedliche Art und Weise aufzustocken. Das Open-SSH-Projekt [6] verkauft über seine Homepage ein zur Software passendes Buch [7]. Da Open SSH zum Open-BSD-Projekt gehört, profitiert es auch von dessen Finanzierung. Diese besteht wiederum aus Spenden mehrerer größerer Unternehmen, etwa der PSW-Gruppe [8].

Die Entwickler des Open-SSL-Projekts bieten hingegen Consulting-Dienste an, die bei 250 US-Dollar pro Stunde beginnen [9]. Im Vergleich zu den Preisen anderer Consulting-Unternehmen ist das ein Schnäppchen. Darüber hinaus übernehmen die Open-SSL-Entwickler Auftragsarbeiten und offerieren Supportverträge – letztere fangen bei 20000 Dollar pro Jahr an.

Diese Arbeiten sind Segen und Fluch: Sie finanzieren zwar das Projekt, doch können die Entwickler in dieser Zeit nicht an der eigentlichen Software arbeiten. Wie Steve Marquess in seinem Blog [5] ausführt, haben die meisten Entwickler noch einen normalen Beruf und auch ein Familienleben. Seiner Einschätzung nach müssten mindestens sechs Vollzeitentwickler an Open SSL arbeiten.

Schwergewichte

Ungeachtet ihrer prekären Finanzlage erfreut sich die Software der genannten Projekte weltweit größter Beliebtheit, haben Admins aus aller Welt und Unternehmen mit Milliardenumsätzen jahrelang auf den Code vertraut. Erst der Heartbleed-Bug hat die Situation dieser Projekte schlagartig ans Licht der Öffentlichkeit gezerrt. Als Reaktion hat die Linux Foundation nun die Core Infrastructure Initiative (CII, [4]) ins Leben gerufen.

Gut betuchte Nutzer der Software zahlen in einen gemeinsamen Topf ein, aus dem die Initiative Entwicklungen in den wichtigen beziehungsweise sicherheitsrelevanten Open-Source-Projekten finanziert. Zu den ersten Geldgebern gehören viele, die in der Branche Rang und Namen haben (Abbildung 1), darunter Amazon, Google, IBM und Microsoft.

Abbildung 1: Die Core Infrastructure Initiative wird von einer Reihe großer Unternehmen unterstützt.

Zugute kommt der Fond zunächst dem Open-SSL-Projekt. Neben zusätzlichen Entwicklern finanziert er auch alle Ressourcen, mit denen das Projekt “die Sicherheit der Software verbessern, externe Prüfungen vornehmen und Patches schneller integrieren” kann. Welche Projekte die Initiative künftig unterstützt, bestimmt eine Steering Group, in der Vertreter der Geldgeber sitzen.

Ein Advisory Board, in dem unter anderem der Sicherheitsexperte Bruce Schneier, die Kernelentwickler Ted Ts’o und Alan Cox sowie Eben Moglen vom Software Freedom Law Center sitzen, berät bei der Auswahl der Projekte. Zu den ersten geförderten Projekten gehören neben Open SSL, Open SSH, NTP und das Open Crypto Audit Projekt [10].

Regierungshilfe

Das Tor-Projekt, das mit Hilfe von Verschlüsselung und zahlreichen Proxys anonymes Surfen ermöglicht, braucht die Gelder der CII hingegen nicht. Das Projekt finanziert sich vor allem über größere Geldgeber, im Jahr 2012 kamen über zwei Millionen US-Dollar zusammen. Das weckt Argwohn: Zwar veröffentlicht das Projekt regelmäßig in einem Report [11], von wem welche Spenden stammen, doch im Jahr 2012 befanden sich darunter einmal mehr verschiedene Regierungsorganisationen. Skeptiker mutmaßen, dass diese Stellen Einfluss auf die Entwicklung nehmen.

Dabei dient Tor auch ohne vermutete Backdoor dem nationalen Interesse der amerikanischen Regierung, weil es in autoritären Ländern die Kommunikation von Oppositionellen ermöglicht. Das Tor-Projekt jedenfalls verneint die Existenz einer Backdoor [12] und verweist Kritiker auf die frei zugänglichen Quellen ihrer Software.

Das Tor-Projekt belasten auch nur geringe Hosting-Kosten, weil Freiwillige die Rechnerknoten des Netzwerkes (die so genannten Relays) betreiben (Abbildung 2), das meiste Geld fließt in Entwicklung, Forschung und Marketing.

https://www.eff.org/pages/tor-and-https).” width=”300″ height=”220″ /> Abbildung 2: Die Kombination von Tor und HTTPS erschwert das Abhören von Internetverbindungen deutlich, wie die Webseite der Electronic Frontier Foundation zu zeigen versucht (Bild: https://www.eff.org/pages/tor-and-https).

In Deutschland müssen sich Projekte selbst aktiv um Unterstützung durch Behörden oder Regierungen bemühen und bei entsprechenden Ausschreibungen bewerben. Auf diesem Wege erhielt auch das Gnu-PG-Projekt kurzzeitig finanzielle Unterstützung vom Bundesministerium des Innern (BMI).

Mitunter finanziert aber auch eine Firma die komplette Entwicklung eines Projekts. Ein prominentes Beispiel ist Open VPN [13], hinter dem das Unternehmen Open VPN Technologies, Inc., steht. Einnahmen generieren “Partner”, Supportverträge und kostenpflichtige VPN-Dienste. Bei einem solchen Modell macht sich das Projekt allerdings von der Firma abhängig: Diese allein entscheidet, welche Patches sie akzeptiert und wer die Software in ihrem Auftrag überprüft.

Stark im Schwarm?

Um weitere Gelder einzutreiben, startete das Gnu-PG-Projekt 2014 eine Crowdfunding-Kampagne (Abbildung 3, [14]) auf Goteo. Diese Form der Spenden eignet sich jedoch nur für klar umrissene Ziele, das Projekt will damit die Website überarbeiten und eine neue Infrastruktur finanzieren. Allerdings müssen die Entwickler ihre Nutzer erst auf die Kampagne hinweisen und sie mobilisieren. Das erfordert einen hohen Arbeits- und Werbeaufwand. Werden abhängig vom gezahlten Betrag noch Belohnungen fällig wie etwa T-Shirts, entstehen Zusatzkosten und weiterer Aufwand.

Abbildung 3: Das Gnu-PG-Projekt startete 2014 ein relativ erfolgreiches Crowdfunding über Goteo.

Die meisten Projekte aber wünschen sich vor allem eins: mehr Zeit für die Entwicklung. Die erhalten sie aber nur, wenn den engagierten Entwicklern genügend Geld zum Leben bleibt. Wie Werner Koch, Maintainer und Erfinder von Gnu PG, im Interview darlegt, ermöglicht Crowdfunding meist keine dauerhafte Finanzierung. Und die Zahlen von Open SSL und Gnu PG zeigen: Spenden allein lösen das Problem langfristig auch nicht.

Erfolgreich scheinen vor allem Projekte zu sein, bei denen die nutznießenden Unternehmen die Entwickler einstellen beziehungsweise die Entwicklung maßgeblich mitfinanzieren. Noch mal Steve Marquess vom Open-SSL-Projekt: “Diejenigen, die echte Ressourcen beisteuern sollten, sind die kommerziellen Unternehmen und Behörden, die Open SSL extensiv nutzen und das für selbstverständlich erachten.”