Welche Auswirkungen auf die Sicherheit hat Transparenz von Quellcode bei Open Source im Vergleich zur proprietären Software? Kann man Open Source überhaupt noch vertrauen? Oder ist der vermeintliche Nachteil vielmehr ein Vorteil?
Die Log4j-Schwachstelle zeigte mit Blick auf die Sicherheit von Open-Source-Projekten sowohl Vor- als auch Nachteile.
Der Konflikt zwischen Open-Source- und proprietärer Software schwelt schon seit Langem. Probleme und Bedenken werden von beiden Seiten untersucht und hinterfragt. In der letzten Zeit haben sich beide Lager insbesondere mit der Frage der Sicherheit auseinandergesetzt. Und gerade in dieser Hinsicht etablierten sich vor allem zwei Mythen:
Mythos 1: Einsichtnahme in Quellcode birgt Gefahren
Oftmals wird argumentiert, dass durch die Einsichtnahme des Codes es Hackern zu leicht gemacht wird, Schwachstellen auszunutzen. Allerdings bedeutet diese Offenheit auch eine weltweite Zusammenarbeit und Pflege durch Tausende von Entwicklerinnen und Entwicklern. Für den normalen Enduser sind diese Leistungen oftmals kostenlos. Eine proprietäre Software hingegen wird oft nur von einem Team eines einzigen Unternehmens gegen Lizenzgebühren entwickelt und gepflegt.
Mythos 2: Proprietäre Software ist sicher
Obwohl Schutzmaßnahmen wie Antiviren-Programme und Patches in der Praxis zuhauf zum Einsatz kommen, um Bedrohungen und Schwachstellen zu reduzieren, ist proprietäre Software vielfach ein beliebtes Ziel von Hacker-Angriffen. Dabei kommt es beispielsweise meist zu Beschädigungen des Datenbestands, Unterbrechung der Services und des Geschäftsbetriebs sowie Diebstahl von Geld und geschützten Informationen.
Echte Transparenz durch Open Source
Obwohl Open Source möglicherweise von Natur aus unsicherer ist als die Alternative von Closed Source, gibt es jedoch einige Gründe zu nennen, warum dies trotzdem der Fall sein kann. Denn Open Source hat wiederholt bewiesen, dass der Netzwerkeffekt vieler Blicke auf den Quellcode Schwachstellen schneller aufdeckt und für deutlich schnellere Behebungszyklen sorgt.
Natürlich ist es zu einfach, den Gesamtzustand der Open-Source-Sicherheit zu beeinträchtigen, wenn eine große Sicherheitslücke klafft. Tatsächlich zeigen aber viele dieser Schwachstellen mit dem höchsten Bekanntheitsgrad die Leistungsfähigkeit der Open-Source-Sicherheit. Die Ergebnisse sprechen für sich: Rund 90 Prozent der bekannten kompromittierten Schwachstellen finden sich in proprietärer Software, obwohl über 90 Prozent der gesamten Software Open Source sind.
Das Beispiel „Log4shell“ zeigte einen Worst-Case für eine OSS-Schwachstelle in Bezug auf Ausmaß und Sichtbarkeit auf. Wobei es sich hier um eine der am weitesten verbreiteten Bibliotheken in einer ebenfalls sehr gebräuchlichen Sprache handelte. Diese Schwachstelle war daher sehr einfach auszunutzen und die Folgen waren dementsprechend schwerwiegend.
Jedoch konnte sie innerhalb weniger Tage gepatcht werden. Insgesamt war dies ein großer Erfolg für die Open-Source-Community – und kein Misserfolg! Im Vergleich dazu dauern die Offenlegungs- und Reparaturzeiten der Anbieter proprietärer Software im besten Fall zwischen 30 und 60 oder nicht selten sogar 90 Tage.
Aktuell (Stand 2024) sorgt eine weitere Open-Source-Schwachstelle für Aufsehen: Bestimmte Upstream-Versionen der in Linux-Distributionen weit verbreiteten XZ Utils, auch unter liblzma geführt, öffneten eine Backdoor, die sich über OpenSSH ausnutzen ließ. Der entsprechende Schadcode wurde über einen der Haupt-Verantwortlichen in das Projekt eingepflegt – ob versehentlich durch eine eigene Infektion oder absichtlich, ist bislang nicht bekannt. Zwar waren vornehmlich nur Unstable-Versionen bestimmter Distributionen betroffen, doch diese mussten von Grund auf neu gebaut werden – und die User dieser Versionen mussten zusätzlich tätig werden, um sensible Informationen wieder abzusichern.
Unterschiedliche Bedrohungen
Open Source und proprietärer Code sind unterschiedlichen primären Bedrohungen ausgesetzt. Das Horror-Szenario der vergangenen Jahre war das der Zero-Day-Schwachstellen. Diese sind deshalb gefürchtet, weil sie noch unbekannt sind und Organisationen sich daher nicht dagegen wehren können.
Das gilt insbesondere für proprietären Anwendungen, weil Zero-Day-Angriffe meist sehr spezifische Effekte nach sich ziehen, und daher die Erkennung und Nutzung eines einzelnen Zero-Days in der Anwendung einer Organisation nicht besonders skalierbar ist. Wenn es um Open Source geht, sind Zero-Day-Schwachstellen im Allgemeinen eher unterrepräsentiert.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Dagegen lieben Hacker bekannte Schwachstellen und betrachten sie für sich quasi als „free lunch“. Denn nur ein kleiner Bummel im Internet verrät ihnen, welche Komponenten anfällig sind und wie der Angriff durchgeführt werden kann. Natürlich wissen Hacker auch, dass es immer Nachzügler geben wird, die nicht über die Schwachstellen von Open Source auf dem Laufenden sind, selbst wenn einige schnell zu beheben sind.
Unternehmen sollten nie vergessen, dass diese Informationen zu Schwachstellen sehr leicht verfügbar sind – unabhängig von Open-Source- oder proprietärer Software.
Offenheit als großer Vorteil
eBook „Open-Source-Tools“
(Bild: Dev-Insider)
E-Book zum Thema
Das eBook „Open-Source-Tools“ befasst sich damit, welche Vorteile und Herausforderungen mit quelloffenen Werkzeugen und Komponenten einhergehen.
Open Source wird in Repositories wie beispielsweise GitHub zur allgemeinen Nutzung veröffentlicht und legt seinen Quellcode offen, damit jeder ihn sehen und untersuchen kann. Das geschieht unabhängig davon, ob es etwas Aktuelles dazu gibt oder nicht. Auch wenn manche dies als Schwäche ansehen mögen, ist es wohl eine der größten Stärken von Open Source, da es den Mitgliedern der Community ermöglicht, Code zu überprüfen und Schwachstellen zu finden.
Denn je mehr Augen draufsehen, desto größer ist die Chance, dass Schwachstellen gefunden werden. Diese Behauptung wird durch Statistiken gestützt, aus denen hervorgeht, dass die gemeldeten Open-Source-Schwachstellen um rund 50 Prozent zugenommen haben.
Solche Informationen werden dann dem Projektinhaber gemeldet und landen entweder in großen Datenbanken der IT-Security wie der National Vulnerability Database (NVD) oder in einer Vielzahl von Issue-Trackern und Sicherheitshinweisen, wodurch sie zu einer sogenannten bekannten Schwachstelle werden. Die Idee dahinter ist, Informationen über Schwachstellen so schnell wie möglich zusammen mit einem Fix der Öffentlichkeit zugänglich zu machen.
Kaschierte Schwachstellen
Im Gegensatz dazu hängt die Sicherheit proprietärer Software stärker davon ab, dass ihre Schwachstellen unbekannt bleiben, um den neugierigen Blicken von Hackern zu entgehen, die es möglicherweise speziell auf sie abgesehen haben. Sich von Open Source fernzuhalten hat daher seine Vor- und Nachteile.
Der Vorteil besteht darin, dass die Wahrscheinlichkeit ziemlich hoch ist, dass Schwachstellen in einem Code für proprietäre Software unbekannt bleiben. Um diese Schwachstellen zu finden und auszunutzen, müsste sich ein Hacker die Zeit nehmen, ein Produkt gezielt ins Visier zu nehmen. Wenn so ein Produkt jedoch über Daten verfügt, die es wert sind, gestohlen oder anderweitig manipuliert zu werden, kann es sein, dass jemand zu dem Schluss kommt, dass es sich lohnt, nach Schwachstellen zu suchen.
Die Sicherheit proprietärer Software im Vergleich zu Open-Source-Sicherheit ist im Grunde eine Frage der Skalierung. Durch die Anonymität wird die Gefährdung möglicherweise geringer, aber sie werden andererseits auch nicht von den vielen Blicken der Entwickler profitieren.
Fazit
Open Source funktioniert anders und diffuser als proprietäre Software. Die Community von Open Source ist bei der Entwicklung von Korrekturen für Schwachstellen mittlerweile sehr effizient geworden. Jedoch liegt es immer noch an den Usern, ihre Software mit den neuesten Versionen, die neu entdeckte Schwachstellen behoben haben, auf dem neuesten Stand zu halten.
E-Book zum Thema
Open-Source-Tools
eBook „Open-Source-Tools“
(Bild: Dev-Insider)
Open Source hat sich auf breiter Front durchgesetzt – die tragende Säule vieler Software-Ökosysteme ist quelloffen. Dies schafft zwar eine beachtliche Flexibilisierung und verbessert die Planungssicherheit, wirft jedoch gleichzeitig neue Herausforderungen auf, die keineswegs unterschätzt werden dürfen.
Dieses eBook umfasst die folgenden Themen:
Trends und Neuerungen bei Open Source Tools
Mit quelloffenen Tools coden, kompilieren, debuggen
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/df/fa/dffa6a55b202c1f0a15862734e0cbeca/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cf/b4/cfb4b211d1f189c2c25d976ed92153ca/0128857194v1.jpeg "So optimieren Sie Nextcloud: Zielgerichtete Anpassungen in PHP und Datenbank für schnellere Reaktionszeiten und verbesserte Systemleistung. (Bild: © Olivier Le Moal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/1b/b41b9c6e88bd8483a2db60f509d61131/0128435735v2.jpeg "KMU ringen vor allem mit klassischen DSGVO-Pflichten. Aufsichtsbehörden unterstützen mit Vorlagen, Sprechstunden und Checklisten, während Vereinfachungen beraten werden. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/0d/260d4ace38f8375d654c966e8b4ec1f2/0128861157v1.jpeg "Die Cloud-Branche steht 2026 vor entscheidenden Umbrüchen. Welche Trends sind für Cloud-Landschaften zu erwarten? (Bild: © FATEMA3.0 - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/6c/976cff4c82dd3a99f7fdd0fe4704feea/0129049626v1.jpeg "Der IT-Branche geht es gut, vor allem Software und Cloud sind Erfolgsgaranten. (Bild: © metamorworks - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/da/e6/dae656cdda32066f36e03455976a60f4/0128697357v1.jpeg "Vorinstallierte Browser sind praktisch, aber nicht immer die beste Wahl. Worauf Nutzer bei Datenschutz, Features und KI achten sollten – und wie leicht ein Wechsel gelingt. (Bild: © Sentavio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a6/71/a67138069e4b6de5b0977b2b4a7c60b0/0128113978v1.jpeg "Cloud-only Security versus Hybrid Cloud Security - was ist besser? Antworten liefert das neue eBook auf CloudComputing-Insider. (Bild: © Creative Team - stock.adobe.com / Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7d/c0/7dc03fef56ab6063de64910a4d9a1c02/0124178820v1.jpeg "Um seine Multi-Cloud-Umgebungen zu schützen, müssen die Risiken erstmal erkannt und analysiert werden. Daraufhin gibt es einen möglichen Sicherheits-Fahrplan, den Security-Spezialist Thorsten Henning von Fortinet empfiehlt. (Bild: Hein - stock.adobe.com)")