Drucksache 14/5555
– 74 –
Open-Source-Software ist transparent und erfüllt damit
eine Basisforderung datenschutzfreundlicher Technologien. Anhand des Quelltextes ist eine Prüfung durch
unabhängige IT-Experten prinzipiell uneingeschränkt
möglich, was auch die Revisionsfähigkeit der Software
maßgeblich erhöht.
Allerdings ist nicht garantiert, dass die Prüfung auch
tatsächlich stattfindet – in der Praxis findet eine unabhängige Überprüfung eher nicht statt – und dass der Quelltext
verständlich ist. Generell gilt daher, dass auch Programme, die unter Open-Source-Bedingungen veröffentlicht werden, Fehler enthalten können, von denen möglicherweise lange Zeit niemand Notiz nimmt. Darum ist es
besonders wichtig, dass formalisierte Verfahren für Prüfung und Evaluierung von Software genutzt werden. In
der Regel ist hierfür zusätzlich die Spezifikation der Software nötig, leider verlangt die OSD nicht, dem Quellcode
eine Dokumentation oder gar eine Spezifikation beizulegen. Beides ist aber zur Evaluation zwingend erforderlich.
Die OSD verbietet lediglich absichtlich verwirrend geschriebenen Code.
Open-Source-Produkte haben den Vorteil, dass sich Anwender weitgehend selbst gegenüber Sicherheitslücken
schützen können, sofern sie sich regelmäßig die erforderlichen Informationen – normalerweise aus dem Internet –
beschaffen. Open-Source-Entwickler unterstützen dieses
Vorgehen, indem Fehler im Internet in der Regel mit entsprechenden Fehlerbeseitigungsmaßnahmen publiziert
werden. Die aktive Beteiligung vieler IT-Experten an der
Fehlerbeseitigung kann dazu beitragen, dass Sicherheitslücken wesentlich schneller geschlossen werden, als das
bei herkömmlicher Software möglich ist.
Derzeit scheint sich das Open Source Entwicklungsmodell neben dem herkömmlichen Softwareentwicklungsmodell als Alternative zu etablieren. Es zeichnet sich ab,
dass einige große kommerzielle Unternehmen ihre Entwicklungen (wenigstens teilweise) als Open Source veröffentlichen werden. Nach den Open Source Entwicklungen in den Bereichen Toolentwicklung (z. B. GNU),
Betriebssystem (z. B. Linux) und graphischen Desktopanwendungen (z. B. KDE, KOffice) wird zukünftig an Entwicklungen im Bereich der Embedded Systems gearbeitet werden.
In der Vergangenheit stellten fehlende Support- und
Dienstleistungsangebote ein wesentliches Hindernis für
den kommerziellen Einsatz von Open Source Anwendungen dar. Heute bieten viele Hardwarehersteller Dienstleistungsunternehmen und Distributoren gleichen Support
an, wie für vergleichbare kommerzielle Systeme.
n
n
n
n
die Quellprogramme von vertrauenswürdigen Stellen
kommen und überprüft sind,
die lauffähigen Programme aus diesen Quellen erzeugt
werden,
die Verteilung / Bereitstellung von Quellprogrammen
und lauffähigen Programmen sicher erfolgt und
Betreuung, Fehlerbeseitigung sowie Weiterentwicklung in angemessener Weise sichergestellt wird.
Mit dem Open Source Modell ist man auf dem richtigen
Weg.
8.9
Die nächste Generation des elektronischen Telefonbuchs: Verzeichnisdienste!
Jeder kennt die Situation bei Konferenzen, Tagungen und
sonstigen Treffen mit Kunden oder interessanten Gesprächspartnern: der Austausch der Visitenkarten! Auf der
Visitenkarte sind nämlich die wichtigsten Informationen
wie Name, Vorname, Titel, Anschrift, E-Mail-Adresse,
Telefonnummer, Faxnummer und selbstverständlich die
Stellung innerhalb der Organisation, mehr oder weniger
übersichtlich angeordnet und griffbereit. Doch jeder
kennt auch die Situation, die auftritt, wenn er die Information der Visitenkarte sucht, weil er sie verlegt hat, oder
wenn die Informationen darauf nicht mehr stimmen, weil
sich die Daten geändert haben. Schön wäre deshalb ein
elektronisches Telefonbuch, auf das man von überall und
jederzeit zugreifen kann, z. B. über das Handy, und die
gewünschte Adresse, Telefonnummer oder anderes mit
ein paar einfachen Klicks finden könnte. Gute Dienste
könnte ein solches System auch dann liefern, wenn man
vertrauliche Informationen an einen Kommunikationspartner schicken möchte und hierzu einen vertrauenswürdigen „öffentlichen Schlüssel“ zum Verschlüsseln der EMail benötigt. Unter Zuhilfenahme eines solchen
Dienstes bekäme man immer den gültigen öffentlichen
Schlüssel des Kommunikationspartners und könnte somit
vertrauliche Informationen problemlos austauschen. Um
ein Höchstmass an Effizienz und Sicherheit in der täglich
anfallenden Kommunikation mit einem Gesprächspartner
zu erreichen, wäre also ein übergeordnetes globales „elektronisches Telefonbuch“ durchaus von Nutzen, aus datenschutzrechtlicher Sicht sogar zu begrüßen.
Programme mit der Bezeichnung ���Verzeichnisdienste“
bieten solche Dienste an. In internen Netzen mit mehreren hundert Benutzern in der öffentlichen Verwaltung,
aber auch im Internet, halten Verzeichnisdienste in
neuester Zeit Einzug. Sie bieten aus datenschutzrechtlicher Sicht einige Vorzüge, aber werfen auch einige Fragen auf.
Die wichtigsten bei Beratungen zu diesem Thema an mich
gerichteten Fragen betrafen folgende Punkte:
n
Ein Ziel des Datenschutzes – mehr Transparenz von Software – kann nur erreicht werden, wenn
Deutscher Bundestag – 14. Wahlperiode
Rechtliche Einordnung von Verzeichnisdiensten:
Soweit ein Verzeichnisdienst nur in einem Intranet einer datenverarbeitenden Stelle – beispielsweise im Informationsverbund Berlin Bonn (IVBB) – eingesetzt
wird, handelt es sich weder um einen Tele- noch um
einen Mediendienst. Die Zulässigkeit derartiger
Verzeichnisdienste richtet sich daher in einem abgeschlossenen internen Netz nach den allgemeinen da-