Wenig überraschend ist es, dass die NSA offensichtlich kommerzielle Produkte beeinflusst und Sicherheitslücken hat einbauen lassen. Eine alte Regel der Sicherheit bestätigt sich mal wieder: "Security by obscurity" - also Sicherheit durch das Verstecken von Informationen - funktioniert nicht. Sicherheit kann es nur dann geben, wenn alle Elemente der Sicherheitskette öffentlicher Kontrolle unterliegen.
Was folgt daraus? Nur Open Source Software kann tatsächlich für sicherheitsrelevante Abschnitte eingesetzt werden. Egal ob es um Transportsicherung geht - also bspw. OpenSSL - oder um Serversoftware oder um Router.
Ist Open Source Software perfekt? Weit gefehlt. Open Source Projekte fahren immer wieder mit Vollgas an die Wand. Fehler sind menschlich, sie passieren. Open Source Projekten fehlt üblicherweise auch das Geld um bspw. "Bug Bounty" Programme zu unterhalten und somit exter
nen Sicherheitsexperten einen starken Anreiz zu geben, die Software zu überprüfen. Bei solchen Programmen werden Meldungen von Sicherheitslücken belohnt, wenn sie bestimmten Regeln folgen (also bspw. erst das zuständige Sicherheitsteam informieren und Veröffentlichungen erst nach angemessener Frist, etc).
Für die Politik ergeben sich daraus mehrere Forderungen: