Open Source ist bei öffentlichen Projekten noch längst keine Selbstverständlichkeit. Dabei zeigen die Fehler bei der Entwicklung von Projekten wie der Gesundheitskarte oder der Steuersoftware Elster, wie staatliche Großvorhaben in der IT von mehr Transparenz profitieren könnten.

Wissen ist Macht, nichts wissen macht nichts – das könnte das Motto manches öffentlichen IT-Projekts sein, von der elektronischen Patientenakte bis hin zur flügellahmen Elster der Finanzverwaltung. Zwar hat das Vordringen von Open Source in den öffentlichen Bereich fraglos Positives bewirkt, doch dass quelloffene Software nicht nur Freunde hat, liegt auch auf der Hand: Wer Planungsfehler oder Kompetenzdefizite kaschieren muss, wird Transparenzgewinn durch Open Source hassen wie der Leibhaftige das Weihwasser.

Wachsende Open-Source-Durchdringung im öffentlichen Bereich gibt es seit Jahren zu melden. Nicht nur die Städte Schwäbisch Hall und München haben Linux auf ihre Fahnen geschrieben, auch das Bundesamt für Finanzen betreibt seit mehr als fünf Jahren in erheblichem Umfang OSS-basierte Verfahren. Doch wer daraus schließt, der öffentliche Dienst habe nun ein Einsehen und schwenke zu Open Source, täuscht sich gewaltig. Ebenso wie in Großunternehmen gibt es auch hier Inseln, Fürstentümer und Königreiche, deren Souveränität von ihren Potentaten mit Klauen und Zähnen verteidigt wird – nicht selten gegen jede sachliche Vernunft.

Kein Allheilmittel

Um Missverständnissen vorzubeugen: Open Source per se hindert niemanden daran, Konzeptions- oder Programmierfehler zu begehen, und ist auch kein Mittel, alle Probleme dieser Welt mit einem Streich zu lösen. Die Offenlegung des Quellcode und die dann möglichen Review-Verfahren können aber helfen Schieflagen früh zu erkennen und ihnen entgegenzusteuern, und zwar bevor das ganze Projekt an die Wand gefahren wird. Doch diese Offenheit ist gnadenlos und jeder, der etwas kaschieren will, wird sie sich kaum wünschen.

Auf dem CCC-Kongress Ende Dezember 2004 kam ein Fall ans Tageslicht, der ernsthaft die Frage aufwirft, welchen Beitrag der Einsatz von Open Source sowie frühzeitige Review-Verfahren hätten leisten können, um schwere Konzeptionsfehler schon im Frühstadium zu erkennen.

In einem Vortrag hatte der Sicherheitsexperte Thomas Maus[1] über die gravierenden Sicherheitsmängel bei der so genannten elektronischen Patientenakte (Padok, D2D,[2]) berichtet, derentwegen seit einiger Zeit auch bereits ein Rechtsstreit anhängig ist.

Abbildung 1: E-Health als neues Schlagwort – ab 19. April findet in München ein Kongress zur Gesundheitskarte statt.

Vertrauensvorschuss verspielt

Wer die Details liest, reibt sich verwundert die Augen und fragt sich schließlich, was für Bastler denn dort am Werke waren. Selbst wenn die Software inzwischen nachgebessert wurde, ist die Angelegenheit damit noch keineswegs vom Tisch. Zum einen lief der untersuchte Softwarestand mit echten Patientendaten, die sich, einmal freigesetzt, nicht wieder einfangen lassen, und deren Kompromittierung immensen Schaden anrichten kann. Zum anderen sind die Mängel laut Maus so gravierend, dass er das gesamte Verfahren als nicht reparierbar einstuft.

Ein Blick in den Vortragstext[1] zeigt, dass es bei der Verfahrenskonzeption der elektronischen Patientenakte augenscheinlich bereits von Anfang an am kleinen Einmaleins in puncto Sicherheitskompetenz mangelte.

Der Vertrauensvorschuss auf Patientenseite ist auf jeden Fall verspielt und man fragt sich, weshalb ausgerechnet jene vertrauenswürdig sein sollten, die schon im ersten Anlauf keine Hemmungen zeigten, mit fremden Daten besonders leichtfertig umzugehen. Von Einsicht bis heute keine Spur: Laut “Spiegel” vom 14. Februar wies Mitentwickler Bertram Bresser die Vorwürfe zurück, denn seit dem “Schlechtachten” des Herrn Maus sei die Sicherheit “entscheidend verbessert” worden.

Schwer vorstellbar, dass die Ereignisse beim Einsatz von OSS-Entwicklungsverfahren den gleichen Lauf genommen hätten. Zu klären wäre auch, weshalb das federführend beteiligte und auch mit öffentlichen Mitteln alimentierte Fraunhofer-Institut ausgerechnet zu proprietären, nicht offenen Verfahren griff. Es drängt sich der Verdacht auf, dass Intransparenz womöglich ganz bewusst eingesetzt wurde.

Was ich nicht weiß, macht mich nicht heiß

Kaum besser steht es um Elster, das von der Finanzverwaltung entwickelte Verfahren zur elektronischen Abgabe der Steuererklärung. Was bei diesem Vogel so gar nicht in die heutige politische Landschaft passt, ist der Umstand, dass der zur elektronischen Abgabe zwangsverpflichtete Bürger zwar Gratissoftware von Vater Staat bekommt – aber leider nur für Windows[3]. Mac-OS- und Linux-Nutzer gucken in die Röhre, denn das laut Ankündigung auf der Elster-Website in Java entwickelte Coala ist, von der vollmundigen Ankündigung abgesehen, nirgends zu finden.

Wie es aussieht, waren bei der ursprünglichen Elster-Konzeption Leute am Werk, die womöglich noch nie davon gehört haben, dass man Clientsoftware auch in Java oder Perl schreiben und damit mehr als nur eine Plattform versorgen kann. O\’Reilly führt das mit dem komfortablen Suchprogramm auf seinem “CD Bookshelf” schon seit den 90er Jahren erfolgreich vor, sodass man diese Erkenntnis bereits beim Elster-Projektstart hätte nutzen können. Bei vernünftiger Planung wäre die Parallelentwicklung zweier Client-Bibliotheken so überflüssig gewesen wie ein Kropf und den zahlenden Bundesbürger deren Finanzierung erspart geblieben.

Keinen Anfängerfehler ausgelassen

Obwohl die Vorgehensweise der beamteten IT-Planer ärgerlich ist, offenbart ein Blick ins Detail noch weit Schlimmeres. Das Verfahren, das die Windows-Elster benutzt, hat nämlich keinen Authentifizierungsmechanismus. Jeder, der Schreiner Müllers Umsatzsteuer-ID-Nummer kennt, kann für ihn ungehindert Steuererklärungen abgeben und ihn beispielsweise durch gefälschte Umsatzsteuervoranmeldungen in Teufels Küche bringen. Den Vorwurf mangelnder Steuerehrlichkeit wird der Schreiner widerlegen müssen.

Pikanterweise ist für Selbstständige die Angabe der USt-ID-Nummer auf eigenen Websites Pflicht, wer\’s nicht tut, fällt irgendwann einem Abmahner zum Opfer. Auch hier ist anzunehmen, dass bei einem Code-Review durch Dritte recht schnell aufgefallen wäre, dass schon das zugrunde liegende Verfahren unter Sicherheitsaspekten nicht koscher ist. Die Angelegenheit wäre im Frühstadium behebbar gewesen und gar nicht erst zur Affäre geraten. Doch vielleicht geht es ja hier um Psychologisches: Man lässt sich nicht gern was sagen – vor allem nicht, wenn\’s stimmt. (uwo)