Wer erinnert sich noch an Heartbleed? Vor zehn Jahren offenbarte eine gravierende Sicherheitslücke in OpenSSL, dass Technologien, die als Stützpfeiler unserer IT und des Internets dienen, oft genug von Einzelpersonen oder kleinen Teams betreut werden, die ihrer so wichtigen Arbeit gänzlich unbeachtet und unterfinanziert im stillen Kämmerlein nachgehen.
Basistechnologien schützen
Die Linux Foundation und andere Organisationen traten auf den Plan, um solche Szenarien in Zukunft zu verhindern. Aber hat das langfristig funktioniert? Die kürzlich gerade noch verhinderte Backdoor in der Kompressionssoftware XZ zeigt, dass immer noch viel genutzte Projekte auf den Schultern einzelner Entwickler ruhen, die unbeachtet wichtige Teile unserer Infrastruktur von Fehlern befreien und vor Sicherheitslücken bewahren.
Sovereign Tech Fund
Die deutsche Regierung möchte, beginnend noch in diesem Jahr über den Sovereign Tech Fund (STF) mehr Öffentlichkeit und Unterstützung für die Maintainer wichtiger Technologien erreichen. Dieses Förderprogramm hat in den vergangenen Jahren bereits mehrfach Gelder der Bundesregierung an über 40 Open-Source-Projekte wie unter anderem GNOME, curl, Openssh, OpenMLS, Python, Sequoia, PGP, WireGuard und das Yocto Projekt verteilt.
Der STF ist ein Förderprogramm des deutschen Bundesministeriums für Wirtschaft und Klimaschutz. Ziel des Fonds ist es, durch finanzielle Unterstützung grundlegende Open-Source-Technologien zu fördern und zu sichern, um sie widerstandsfähiger gegen Angriffe von außen zu machen und so die Sicherheit der deutschen Wirtschaft gegen Cyberangriffe zu stärken.
Die Menschen hinter der Software im Fokus
Jetzt legt der STF das Programm Fellowship for Maintainers auf, das die Arbeit der Menschen, die das Rückgrat unserer IT-Infrastruktur instand halten, unterstützen soll. Mirko Swillus, der Programmmanager des STF schrieb dazu in seiner Vorstellung des Projekts:
Die Open-Source-Infrastruktur ist das Rückgrat unserer digitalen Welt – und die Arbeit der Menschen, die sie pflegen, ist für die Gewährleistung der Sicherheit und Verfügbarkeit dieser globalen Ressource unerlässlich. Sie leiten die Projektentwicklung, prüfen Änderungen, verwalten die Interaktion mit der Gemeinschaft und kümmern sich um Sicherheitsfragen.
Ab September
Das Förderprogramm wurde nach der Auswertung der Umfrage Open Source Maintainer Fellowship Survey vom März dieses Jahres eingerichtet, an der 536 Foss-Maintainer teilgenommen hatten. Laut Planung sollen sich Open-Source-Betreuer ab September für das Programm bewerben können; erste Gelder sollen in Q4 fließen. Weitere Informationen sind auf der Fellowship-Webseite des STF zu finden.
Na ja. Die Vorstellung von Souveränität ist bei den Regierenden leider “MS365 betrieben von SAP” = Sovereign Cloud
Die Entwicklung im Bereich FOSS ist mMn eher rückläufig: Der kommende Innovations-/Investitionsplan der EU Komission Horizon Europe 2025-2027 schichtet viel Geld in AI um und entzieht es der FOSS Förderung: https://www.theregister.com/2024/07/17/foss_funding_vanishes_from_eus/
Auch wenn die Begründung dafür schräg ist, so ist es gut, wenn mal ein wenig Geld für ein paar Foss-Entwickler in die Hand genommen wird.
Ob die Regierenden in Berlin grundsätzlich an der Souveränität von deutschen IT-Strukturen Interesse haben möchte ich allerdings bezweifeln.
“Die Sicherheit der deutschen Wirtschaft gegen Cyberangriffe” kann nicht gelingen, solange man alle Strukturen Alphabet und Microsoft anvertraut.
vor allem aber verstößt es gegen die Datenschutzverordnung (DSGVO) und damit gegen geltendes Recht!
Das mit Abstand größte Sicherheitsrisiko für die deutschen Wirtschaft ist deren eigene (sogenannte) Regierung. Cyberangriffe sind, daran gemessen, nur ein “Minderproblem”.
Haben die zuständigen deutschen Regierungstellen für die o.g. Begriffe auch eine deutsche Übersetzung ? Ich meine doch verstanden zu haben, daß hier von deutschen Interessen gesprochen wurde.
> Wer erinnert sich noch an Heartbleed? Vor zehn Jahren…
Das war doch erst letztens…