Open Source im professionellen Einsatz
Linux-Magazin 08/2014
© iofoto, 123RF

© iofoto, 123RF

Wer bezahlt die freien Krypto-Entwickler?

Chronisch klamm

Obwohl quelloffene Kryptosoftware praktisch überall auf der Welt zum Einsatz kommt, sind die Projekte dahinter häufig klein und chronisch unterfinanziert. Doch seit Heartbleed gibt es Aussicht auf Besserung.

1246

Quelloffene Software hat den Vorteil, dass jedermann den Code inspizieren kann und so Fehler schneller auffliegen. Dennoch schlummerte in Open SSL [1] über zwei Jahre lang eine eklatante Sicherheitslücke, die schließlich als Heartbleed-Bug in die Geschichte einging [2]. Obwohl der Quellcode von Open SSL offen liegt, hat scheinbar niemand das Problem bemerkt – weil kaum jemand danach gesucht hat.

Nun würde so ein Bug nicht weiter auffallen, wäre nicht die Benutzerbasis von Open SSL so riesig. Millionen Privatanwender und sehr viele Firmen verlassen sich auf ihre Kryptosoftware. Sie soll die Sicherheit teils millionenschwerer Projekte gewährleisten, ihre Entwicklung liegt jedoch in den Händen weniger Programmierer. Wie im Falle von Gnu PG [3] pflegt mitunter nur eine einzige Person die umfangreiche Codebasis.

Sicherheitsrelevante Tests und Inspektionen sind aber zeitaufwändig und erfordern oft einen Vollzeitjob. Um die Qualität des Quellcodes zu steigern, müssten also weitere Entwickler und Tester her.

Wenig spendabel

Gerade in den kleineren Projekten fehlt jedoch das Geld für entsprechende Vollzeitstellen, sie decken ihre Ausgaben durchweg über Spenden. Egal ob Open SSH oder Gnu PG – auf fast jeder Projekthomepage findet sich ein Button, über den Nutzer ein Projekt per Kreditkarte oder Paypal unterstützen können. Die so eingesammelten Gelder reichen jedoch bei Weitem nicht aus, um einen oder gar mehrere Entwickler zu bezahlen.

Laut Linux Foundation erhielt das Open-SSL-Projekt pro Jahr gerade mal rund 2000 US-Dollar an Spenden [4]. Diesen Betrag nennt auch Steve Marquess, zuständig für die Finanzen bei Open SSL [5]. Der Maintainer von Gnu PG (siehe Kasten "Interview mit Werner Koch") nahm 2013 knapp 5000 Euro Spenden ein – brutto wohlgemerkt. Paypal verlangt noch Bearbeitungsgebühren, auch das Finanzamt möchte mitunter einen Teil abzweigen.

Interview mit Werner Koch

Werner Koch ist Gründer und Maintainer von Gnu PG und arbeitet seit 1997 an der freien Implementierung des Open-PGP-Standards.

Linux-Magazin: Wie finanziert sich das Gnu-PG-Projekt hauptsächlich?

Werner Koch: Die ersten Jahre habe ich die Entwicklung aus meinen Ersparnissen und einem Consulting-Job, den ich vorübergehend annehmen musste, bezahlt. 2001 hatte ich G10 Code gegründet, um die Entwicklung auf gesunde Füße zu stellen. Das Ziel war, Supportverträge zu verkaufen und bezahlte Entwicklungen zu akquirieren. Das lief anfangs recht gut an, doch seit einigen Jahren ist nichts mehr über – offensichtlich fehlen die Supportfälle.

Die Entwicklungen für Kunden haben das meiste Geld gebracht. Hier sind insbesondere die gewonnenen Ausschreibungen des BMI [Bundesministerium des Inneren, Anm. d. Redaktion] zu nennen und die damit beauftragten Entwicklungen des S/MIME-Teils. Als Kollateralgewinn konnte ich den Open-PGP-Teil, also das eigentliche GPG, gegenfinanzieren, einen Vollzeitentwickler über viele Jahre beschäftigen sowie zeitweise zwei weitere Teilzeitangestellte. Seit 2011 ist das aber alles weggebrochen und ich musste Ende 2012 meinen langjährigen Angestellten leider entlassen.

Spenden werbe ich erst seit 2011 ein. Damit kann man noch nicht wirklich etwas am Laufen halten, aber es gab auch nie eine wirkliche Spendenkampagne. Das BMWA/BMWi [Bundesministerium für Wirtschaft und Arbeit] hatte 1999/2000 die Portierung auf Windows inklusive der Erstellung weiterer Tools als Leuchtturmprojekt für den neuen Masterplan Internetsicherheit mit 319000 DM (umgerechnet 137000 Euro) gefördert.

Projekte mit dem BSI wurden immer per Ausschreibung eingeworben. Der letzte Auftrag des BSI kam 2009 für Gpg4win, Version 2. Im Jahr 2013 haben wir eine Förderung von 25000 US-Dollar von einer amerikanischen NGO erhalten, um Arbeiten an Gpg4win durchzuführen. Wie bei Gpg4win-Projekten üblich habe ich das mit Partnerfirmen zusammen gemacht.

Linux-Magazin: Wie verwenden Sie das Geld? Rein für den Betrieb der Rechner?

Werner Koch: Die beiden Gnu-PG-Server sponsert Open IT. Es fallen also im Wesentlichen Lohnkosten an. 2013 waren das insgesamt 32000 Euro, die G10 Code zu bilanzieren hatte. Man kann sich dann ausrechnen, was für ein Nettogehalt bei mir herausspringt. Für dieses Geld zu arbeiten geht aber wirklich nicht mehr so weiter. Vor Juni 2013 war ich drauf und dran, die ganze Sache aufzugeben.

Linux-Magazin: Gnu PG hat auch eine Crowdfunding-Kampagne angestoßen. Warum ausgerechnet Crowdfunding und warum fiel die Wahl auf Goteo als Plattform?

Werner Koch: Der Kampagnenmanager, der mir empfohlen wurde, hat das ausgewählt. Im Nachhinein bin ich damit nicht zufrieden gewesen. Die Leute hinter Goteo sind zwar sehr bemüht, aber es fehlt viel. Ich habe noch mehrere Wochen in die Nacharbeit stecken müssen. Das fängt bei so simplen Sachen an, dass die Plattform es nicht ermöglicht, T-Shirt-Größen direkt abzufragen, und endet mit inkonsistenten und falschen Daten, die sie geliefert hat. Aber es war sicherlich ein großer Erfolg und hat mich bestärkt, mich weiter für Gnu PG zu engagieren. Immerhin weiß ich, wie ich die nächsten paar Monate mein Gehalt zahlen kann.

Linux-Magazin: Welche Erfahrungen haben Sie mit den unterschiedlichen Finanzierungsmodellen gesammelt? Gibt oder gab es Probleme? Würden Sie erneut eine Crowdfunding-Kampagne starten?

Werner Koch: Spenden über Paypal kommen nach einer Release immer wieder mal rein. Allerdings ist Paypal teuer und eine Datenkrake. Deswegen ist es jetzt möglich, auch direkt per Kreditkarte zu spenden.

Die Crowdfunding-Plattformen sind eine gute Sache, aber keine Lösung für eine dauernde Finanzierung, obgleich es mittlerweile auch darauf spezialisierten Plattformen gibt. Sie sind recht teuer (Goteo nimmt zirka 8 Prozent), weshalb unser Ziel von Anfang an darin bestand, eine eigene Spendeninfrastruktur aufzubauen. Für bestimmte, klar definierte Projekte würde ich wieder ein Crowdfunding machen. Allerdings nur mit einem Manager, der das wirklich gut und selbstständig umsetzt. Also jemandem, der dauerhaft im Gnu-PG-Projekt eingebunden ist. Oder kurz gesagt: G10 Code ist momentan zu klein, um eine weitere Kampagne zu stemmen.

Linux-Magazin: Was würden Sie sich mehr wünschen: Mehr Geld oder mehr helfende Hände?

Werner Koch: Beides. Das Einarbeiten und Koordinieren mehrerer Entwickler ist sehr zeitaufwändig. Diesen Aufwand können ich oder wir uns erst leisten, wenn wir uns keine Sorgen mehr um den Lebensunterhalt machen müssen. Aber notwendig wäre es schon. Auch im Sinne der Zukunftssicherung für die Software – es kann ja sein, dass ich irgendwann keine Lust mehr habe oder aus anderen Gründen nicht weitermachen kann.

Linux-Magazin: Was würden Sie machen, wenn Sie genug Geld zur Verfügung hätten? Glauben Sie, dass dann Ihre Software sicherer würde?

Werner Koch: Kontinuierlich gewartete Software ist sicherer. Wir könnten dann auch mit gutem Gewissen weitere Tests schreiben und bestimmte Teile des Codes überarbeiten.

Open SSH und Open SSL haben zusammen mit 362000 Codezeilen etwa denselben Codeumfang wie Gnu PG, letzteres lag zusammen mit GPGME im Jahr 2011 bei ungefähr 345240 Codezeilen. Wobei wir in Gnu PG auch noch die Branches 1.4 und 2.0 aktiv bearbeiten, hinzu kommen dann noch Keymanager, Windows-Tools und so weiter.

Nebenjobs

Die mageren Spenden versuchen die Projekte auf unterschiedliche Art und Weise aufzustocken. Das Open-SSH-Projekt [6] verkauft über seine Homepage ein zur Software passendes Buch [7]. Da Open SSH zum Open-BSD-Projekt gehört, profitiert es auch von dessen Finanzierung. Diese besteht wiederum aus Spenden mehrerer größerer Unternehmen, etwa der PSW-Gruppe [8].

Die Entwickler des Open-SSL-Projekts bieten hingegen Consulting-Dienste an, die bei 250 US-Dollar pro Stunde beginnen [9]. Im Vergleich zu den Preisen anderer Consulting-Unternehmen ist das ein Schnäppchen. Darüber hinaus übernehmen die Open-SSL-Entwickler Auftragsarbeiten und offerieren Supportverträge – letztere fangen bei 20000 Dollar pro Jahr an.

Diese Arbeiten sind Segen und Fluch: Sie finanzieren zwar das Projekt, doch können die Entwickler in dieser Zeit nicht an der eigentlichen Software arbeiten. Wie Steve Marquess in seinem Blog [5] ausführt, haben die meisten Entwickler noch einen normalen Beruf und auch ein Familienleben. Seiner Einschätzung nach müssten mindestens sechs Vollzeitentwickler an Open SSL arbeiten.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • GnuPG-Entwicklung finanziert, doch es gibt Kritik

    An der Verschlüsselungssoftware GnuPG arbeitete zuletzt nur noch Werner Koch. Um die Arbeit fortsetzen zu können, bat der Entwickler um Spenden. Die trafen jedoch nur schleppend ein, erst Dank eines Artikels und den sozialen Netzwerken kam jetzt genügend Geld zusammen.

  • Crowdfunding für GnuPG

    Das Projekt hinter GnuPG startet seine erste Crowdfunding-Kampagne und möchte mit dem Geld eine neue Webseite und eine langfristige Infrastruktur aufbauen.

  • IPfire-Projekt startet Crowdfunding-Wishlist

    Das beliebte Open-Source-Firewall-Projekt Ipfire hat eine Crowdfunding-Plattform ins Leben gerufen, auf der freiwillige Spenden für eine Wunschliste an Erweiterungen abgegeben werden können.

  • Code gegen Bitcoin

    Bithub, dessen Name nicht grundlos an die beliebte Versionsverwaltungsplattform Github erinnert, will dafür sorgen, dass sich Spenden in Open-Source-Projekten einfacher verteilen lassen und folgt im Ansatz dem Tip4commit-Projekt.

  • Linux Foundation bewilligt Geld für weitere Security-Projekte

    Die Linux Foundation unterstützt künftig drei weitere Projekte, die sich um die Sicherheit kritischer Softwareprojekte kümmern - darunter eines des Golem-Autors Hanno Böck.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.