Gestern Abend erhielt ich eine E-Mail von einem ZEIT ONLINE Redakteur, der mich um eine Einschätzung zu der Mitarbeit der NSA an Android bat und fragte, ob es möglich sei, dass die NSA Hintertürchen eingebaut habe. Der Artikel dazu wurde mittlerweile veröffentlicht und zitiert mich teilweise. Aus Transparenzgründen und zur Steigerung der allgemeinen Medienkompetenz, gebe ich hier mal meine vollständige hastig zusammen getippte Einschätzung wieder:
Prinzipiell ist es natürlich möglich, dass die NSA Hintertüren in den Code von Android eingebaut hat. Vor einiger Zeit gab es ja den Fall, dass das FBI Hintertüren in den OpenBSD Code eingebaut haben sollte. Gerade bei sehr komplexem Code, kann es schon mal passieren, dass dies einige Zeit unentdeckt bleibt.
Allerdings reicht allein der Verdacht, und Tausende von Entwicklerinnen nehmen den betreffenden Code ganz genau unter die Lupe. Bei moderner Software-Entwicklung sorgen Versionskontrollsysteme zudem dafür, dass jede noch so winzige Veränderung in alle Ewigkeit nachvollzogen und einer Autorin zugeordnet werden kann..
Wir wissen nicht, ob die NSA auch an iOS gearbeitet hat und selbst wenn wir es wüssten, bliebe uns nichts anderes übrig der NSA zu vertrauen (haha!) bzw. zu hoffen, dass keine Hintertüren enthalten sind. Denn niemand kann sich den Code von iOS anschauen, da es keine Freie Software ist. Auch der Aussage, das Apple keine Regierungen an den Code müssen wir deshalb blind vertrauen.
Die Behauptung von Mark Milian, dass Freie Software generell schlecht für die Sicherheit ist, ist jedenfalls großer Quatsch.
Ein Detail, was oft übersehen wird ist, dass fast alle Android-Geräte mit unfreien Versionen von Android ausgeliefert werden. Sie enthalten viele unfreie Komponenten, deren Sicherheit niemand überprüfen kann.
Deswegen ist es wichtig, dass es Initiativen wie Replicant oder CyanogenMod gibt, die verbesserte Versionen von Android anbieten, die man sich dann auf sein Gerät laden kann. Nur so kann man sicher sein, dass auch Freie Software auf dem Gerät läuft und wenn man ganz sicher sein will, kann man sich sein Android sogar selbst aus dem Quellcode bauen.
In der bisherigen Berichterstattung wird ja auch darauf hingewiesen, dass die NSA die Sicherheit von Android verbessern wolle und gerade Android ausgewählt hat, weil es sich dabei um Freie Software handelt, also veränderbar und einsehbar ist.
Wie sie vielleicht wissen, ist ein neues “Merkel-Phone” in Entwicklung, dass auch gerade deshalb auf Android basieren soll. Hier ist man nicht auf das Vertrauen in einen Hersteller angewiesen, sondern hat alles selbst in der Hand. Vertrauen ist gut, Kontrolle ist besser.