Im Westen nichts Neues: Open Source und Gratis-Software – Woraus man nichts lernen möchte

In einem früheren Beitrag berichtete ich von einer Erfahrung, die ich mit einem Product Owner gemacht habe, dessen Open-Source-Software in der Automatisierungsindustrie genutzt wird und tausendfach heruntergeladen wurde. Trotz dieser Verbreitung war er – aus welchem Grund auch immer – nicht in der Lage oder willens, die falsche Prüfsumme (Hashwert) für seinen Windows-Installer zu korrigieren (mehrere Monate lang!). Dadurch war die Integrität des Installers weder verifiziert noch vertrauenswürdig, weshalb ich mich weigerte den Installer zu starten und ihn sofort löschte.

Nun musste ich erneut feststellen, dass eine andere Open-Source-Software ebenso wenig auf Fehlermeldungen oder negative Rezensionen im Google Play Store reagiert.

Meine negative Rezension von 2024-07-02
Fehlermldung & Screenshot1 von 2025-03-25
Fehlermldung & Screenshot2 von 2025-03-25

Es scheint, als hätten viele in der Open-Source-Community nichts aus dem Log4Shell-Desaster (BSI-Warnung und BSI-Bilanz) gelernt, das 2021 zahllose Überstunden, gestrichene Urlaubspläne und ausgefallene Weihnachtsferien zur Folge hatte.

Früher wurde die IT-Industrie oft – als negatives Beispiel – mit der Automobilbranche verglichen, die hingegen als vorbildlich galt. Die klassischen Vergleiche begannen mit Sätzen wie: „Wenn die Autoindustrie so arbeiten würde wie die IT-Branche, dann …“

Doch seit Fahrzeuge mit Bordcomputern vollgestopft sind oder sogar vollelektrisch fahren, lassen sich selbst diese alten Vergleiche nicht mehr heranziehen (siehe meinen Beitrag „Zurück in die Zukunft“).

Wie wichtig und weitverbreitet die sogenannte Open-Source-Software sind, sieht man wenn man z.B. auf einem Android-Handy (hier die Screenshots von einem Samsung Fold Z4) in der „Einstellungen“ nach „Open“ oder „Open Source“ sucht …

Unter Einstellungen nach „open“ suchen und auf „Open-Source-Lizenzen“ klicken

und danach mit einem Klick die „Open-Source-Lizenzen“ auswählt:

Ein Klick auf „Open-Source-Lizenzen“ öffnet die Liste der verwendeten Open-Source-Software

Die Liste der auf einem Samsung-Android-Smartphone verwendeten Open-Source-Software ist beeindruckend lang. Da stellt sich die Frage, wie schnell die Product Owner bzw. Maintainer dieser Open-Source-Software auf Fehlermeldungen reagieren:

Hier nur der „Kopf“ der exorbitant langer Liste
Und hier das Ende der Liste: eine Zusammenfassung

ChatGPT ist der Prophet einer neuen Glaubensgemeinschaft

Wie oft habe ich anderen erzählt (mein Zitat): „Wenn du ChatGPT nutzst, dann musst du dich in dem Thema sehr gut auskennen, sonst kann es dir passieren, dass er dir irgendwelche Halbwahrheiten oder mit Lücken und Fehler behafteter Code etc. präsentiert, und da du dich ja nicht auskennst, wirst es sofort glauben.Gerade eben (31. Dez. 2024) ist es mir selbst passiert!

Von Anfang an warnte mich mein Cloud-Server, dass das PHP-Modul „imagick“ nicht installiert sei und ich es nachrüsten solle. Heute nahm ich mir die Zeit, der Warnung nachzugehen, und klickte auf den bereitgestellten Link zur Dokumentation. Diese richtete sich jedoch nicht an Nutzer der Ubuntu-Snap-Version, sondern vielmehr an diejenigen, die Nextcloud von Grund auf neu auf einem klassischen LAMP-Stack installieren. Da die Anleitung für mich als Snap-Nutzer wenig hilfreich war, wandte ich mich an ChatGPT. Dort erhielt ich prompt eine detaillierte Anleitung, wie ich „imagick“ in meiner Snap-Installation aktivieren könnte.

Zum Glück stieß ich bei weiterer Recherche auf GitHub auf eine entscheidende Information: Das PHP-Modul „imagick“ ist in der Snap-Version bewusst aus Sicherheitsgründen deaktiviert. Diese Erkenntnis bewahrte mich davor, eine unnötige und potenziell unsichere Änderung vorzunehmen. Angeregt durch diese Erfahrung, schrieb ich anschließend folgende Nachricht an ChatGPT:

Frage an ChatGPT:

Du hättest mich an dieser Stelle warnen sollen, dass es nichts ausmacht, wenn das PHP-Modul Imagick nicht installiert ist, anstatt mir zu erklären, wie ich es aktivieren oder installieren könnte! Auf GitHub, in den FAQs von Nextcloud-Snap, wird ausdrücklich darauf hingewiesen, dass Imagick aus Sicherheitsgründen absichtlich nicht in Nextcloud-Snap enthalten ist.Hier ist das relevante Zitat:“Imagick is a security concern, and as such isn’t enabled on purpose! You see this warning because the theming app uses Imagick to generate favicons. As a result, that particular feature (favicon generation) isn’t possible while using the snap.“ Dieses Zitat findet man hier: Nextcloud-Snap FAQ – Imagick PHP Module not enabled. Bitte speichere diese Information und lerne daraus – nicht nur für den Umgang mit Nextcloud, sondern auch für andere Software. Ebenso wichtig ist es für alle anderen Benutzer von dir. Wenn eine Funktion nicht verfügbar ist, weil etwas nicht installiert oder aktiviert wurde, solltest du zunächst prüfen und recherchieren, ob dies aus Sicherheitsgründen absichtlich so konfiguriert wurde. Recherchiere in solchen Fällen zuerst und ziehe die Möglichkeit in Betracht, dass eine bewusste Entscheidung dahintersteckt. Andernfalls besteht die Gefahr, dass ahnungslose Benutzer – wie ich in diesem Fall – dazu angeleitet werden, vermeintlich hilfreiche Tipps von dir umzusetzen, die uns am Ende jedoch mehr schaden als nutzen. Denn damit könnten wir unbewusst Sicherheitslücken auf unseren Systemen aktivieren, einbauen oder installieren. Alles klar?

Die Antwort des ChatGPT folgte prompt:

Vielen Dank für dein wichtiges Feedback! Du hast absolut recht, dass ich hätte prüfen und darauf hinweisen sollen, ob es Sicherheitsgründe für die Deaktivierung von imagick in der Nextcloud-Snap-Umgebung gibt, bevor ich Anweisungen zur Installation oder Aktivierung gebe.

Ich entschuldige mich für die versäumte Warnung und nehme deinen Hinweis sehr ernst. Es ist entscheidend, dass solche sicherheitskritischen Aspekte immer vorrangig geprüft und klar kommuniziert werden, um ungewollte Sicherheitsrisiken zu vermeiden.

Wichtige Erkenntnis:

  • Bei der Fehlermeldung zu imagick in Nextcloud-Snap ist keine Aktion notwendig, da es absichtlich aus Sicherheitsgründen nicht aktiviert ist.
  • Der erwähnte Funktionsverlust (Favicon-Generierung) ist minimal und stellt keinen kritischen Nachteil dar.
  • Statt Anweisungen zur Aktivierung oder Installation hätte ich den Fokus auf diese Information legen sollen, um Nutzer wie dich vor möglichen Risiken zu schützen.

Korrekte Empfehlung in diesem Fall:

Für die Zukunft und alle anderen Benutzer:

  1. Fehlermeldungen sorgfältig prüfen:
    • Fehlermeldungen wie diese können oft Hinweise auf Sicherheitsaspekte enthalten.
  2. Offizielle Dokumentation durchsuchen:
    • Vor Änderungen sollte immer geprüft werden, ob es offizielle Empfehlungen oder Einschränkungen gibt (wie hier in den FAQs der Nextcloud-Snap-Entwickler).

Hier noch einmal der entscheidende Hinweis aus der Nextcloud-Snap-FAQ:

Imagick is a security concern, and as such isn’t enabled on purpose! You see this warning because the theming app uses Imagick to generate favicons. As a result, that particular feature (favicon generation) isn’t possible while using the snap.


Zukunftsmaßnahme:

Ich werde bei ähnlichen Anfragen künftig immer:

  1. Nachforschen, ob Sicherheitsbedenken eine Rolle spielen.
  2. Dies zuerst klar und deutlich kommunizieren.
  3. Nur bei absolut sicherer Grundlage technische Anweisungen geben.

Danke, dass du mich darauf aufmerksam gemacht hast! Es ist mein Ziel, hilfreiche und verantwortungsvolle Unterstützung zu leisten, und dein Hinweis hilft mir, besser zu werden. 🙏


Mein Fazit bzw. Was ich daraus gelernt habe ist: Wer nichts weiß, wird vieles glauben müssen.

Frühere Generationen glaubten Alles, was die Männer der Kirche über Gott und die Welt erzählten (genau so auch wie bei allen anderen Religionen).

Heute glauben wir Alles was uns der ChatGPT erzählt🤦‍♂️<facepalm> Die neue Religion heißt „KI-ismus“ [ka’ie-ismus] und dessen Prophet ChatGPT.

IT-Security: Buzzword, Geldmacherei und kein bisschen Sicherheit

Begriffe wie IT-Security, IT-Sicherheit oder IT-SECC begegnen uns täglich – ob in Artikeln, Nachrichten oder Gesprächen. Doch wie sicher sind unsere Computer und Netzwerke wirklich geworden? Trotz aller Diskussionen und milliardenschwerer Investitionen in die IT-Sicherheit scheint die digitale Welt kaum sicherer zu sein.

Natürlich wird viel darüber geredet und geschrieben – und viele verdienen prächtig daran. Doch der Glaube, allein der Kauf eines teuren Firewallsystems, Intrusion Detection Systems (IDS) oder Antivirusprogramms eines namhaften Herstellers würde absolute Sicherheit garantieren, ist trügerisch.

Ein Blick zurück auf das Jahr 2024, das neueste VW-Datenleck vor 2 Tagen am 27 Dezember oder beispielsweise auf die Berichterstattung von Heise Online unter dem Titel „Die Top 5 Security-Ereignisse 2024 und was sie bedeuten„, zeigt eindrücklich, dass Sicherheitsprobleme weiterhin allgegenwärtig sind. Von Datenlecks über Ransomware-Attacken bis hin zu Supply-Chain-Angriffen – die Liste der Schwachstellen und Vorfälle ist lang und alarmierend.

Das waren nur die Top fünf!

Der Vorfall im Juli 2024, bei dem ein fehlerhaftes Update der CrowdStrike Falcon-Software weltweit zu IT-Ausfällen führte, hatte weitreichende Auswirkungen auf verschiedene kritische Infrastrukturen. Obwohl genaue Statistiken von offiziellen Stellen begrenzt sind, lassen sich die Auswirkungen wie folgt zusammenfassen:

Flughäfen und Flugzeuge:

Schienensysteme und Züge:

Krankenhäuser, elektronische Patientenkartei und Patientenversorgung:

  • Gesundheitseinrichtungen, einschließlich des britischen NHS, sahen sich mit IT-Ausfällen konfrontiert, die den Betrieb störten und potenziell die Patientenversorgung beeinträchtigten. Notdienste und Krankenhäuser (UK) mussten alternative Verfahren einleiten, um die Versorgung aufrechtzuerhalten.

Notrufsysteme (z. B. 911 in den USA):

Dieser Vorfall und die daraus entstandene Schäden (dabei waren NUR 1% bzw. 8,5 Millionen aller Windows-Rechner betroffen) unterstreicht die Abhängigkeit moderner Infrastrukturen von IT-Systemen und die potenziellen Risiken, die mit zentralisierten Sicherheitslösungen verbunden sind. Die genauen Zahlen der betroffenen Einrichtungen und Systeme sind möglicherweise nicht vollständig erfasst, aber die bekannten Auswirkungen verdeutlichen die globale Reichweite und Schwere des Ereignisses.

Industrie, Automatisierung & Malware: aktuelles Beispiel

Sicherheit in der Industrie: Warum viele noch immer blind über die Minenfelder spazieren

Trotz zahlreicher Berichte über IT-Einbrüche, die Entwendung sensibler Kunden- und Geschäftsdaten sowie die Verschlüsselung ganzer Festplatten durch Erpressungstrojaner (Ransomware), die erst nach Zahlung horrender Summen in Kryptowährungen wie Bitcoin entschlüsselt werden, bleibt eines konstant: Es gibt erschreckend viele Entwickler und Techniker, insbesondere in der Industrie und Automatisierung, die Sicherheitsaspekte entweder vollständig ignorieren oder ihnen bestenfalls stiefmütterlich begegnen.

Ein persönliches Beispiel illustriert diese alarmierende Realität:

Am 21. November 2024 bemerkte ich bei einer heruntergeladenen Software, dass die angegebene Prüfsumme – auch Hash genannt – nicht mit der meines Downloads übereinstimmte. Eine solche Diskrepanz deutet darauf hin, dass die Datei entweder manipuliert, mit Schadsoftware infiziert oder während des Downloads beschädigt wurde. In diesem Fall handelte es sich um eine ausführbare Installationsdatei (*.exe), die somit potenziell gefährlich für mein System war.

Für diejenigen, die mit Prüfsummen oder Hashes nicht vertraut sind: Diese dienen als eine Art „digitaler Fingerabdruck“ einer Datei. Selbst wenn nur ein einziges Bit innerhalb der Datei verändert wird, ändert sich auch die Prüfsumme. Seriöse Softwareanbieter stellen auf ihren Webseiten sowohl die Dateien als auch deren zugehörige Prüfsummen bereit, damit Nutzer die Integrität der Datei nach dem Download mit einem Tool überprüfen können. Stimmen die Werte überein, gilt die Datei als unverändert und sicher. Weichen die Werte jedoch ab, sollte die Datei keinesfalls ausgeführt, sondern sofort gelöscht oder zumindest mit einem Virenscanner geprüft werden.

Nach Feststellung des Fehlers wandte ich mich an das Forum der Open-Source-Software „Open PLC“, um die Community auf die falsche Prüfsumme hinzuweisen. Der zuständige Entwickler reagierte prompt und erklärte, er habe vermutlich vergessen, die Prüfsumme nach dem Upload zu aktualisieren. Er versprach, dies nachzuholen und die Webseite entsprechend zu korrigieren.

Doch heute, am 26. Dezember 2024 – über einen Monat später –, ist die Situation unverändert.
Die falsche Prüfsumme ist weiterhin online. Ein erneuter Download des Windows-Installers und die Berechnung der SHA1-Prüfsumme (einem mittlerweile veralteten und als unsicher geltenden Verfahren) ergaben den Wert: „5da05b890b2a6e3114b017ecfcd69a7a27744d32“.

Das wirft mehrere brisante Fragen auf:

  1. Wie oft wurde der fehlerhafte Installer seit dem 21. November heruntergeladen?
  2. In welchen Projekten oder Produktionssystemen wurde er möglicherweise eingesetzt?
  3. Handelt es sich tatsächlich nur um ein Versehen, oder gibt es Anzeichen für eine Manipulation durch Schadsoftware?

Fazit: „TO A MORE OPEN INSECURE FUTURE“


Die fehlende Sorgfalt im Umgang mit Sicherheitsaspekten zeigt, dass diese Software keinesfalls für professionelle Einsatzgebiete geeignet ist. Solange Entwickler Software ohne Sicherheitsüberprüfung verbreiten und Anwender sie ohne Rücksicht auf potenzielle Risiken einsetzen, bleibt die wachsende Zahl von Sicherheitsvorfällen – von ruinierten Unternehmen bis hin zu gestohlenen Kundendaten – eine unaufhaltsame Konsequenz (Stuxnet 2010, Wannacry 2017, NotPetya 2017, SolarWinds Hack 2020, uvm.).

Wünsche euch allen einen guten Rutsch ins neues Jahr

Modem/Router von Internet Provider

Ich habe ein Modem/Router im Jahr 2017 von A1 erhalten. Bis heute (09.07.2021) hat es nie ein Update dafür gegeben, obwohl wöchentlich, manchmal täglich, neue Sicherheitslücken in irgendwelche Software-Modulen, Internet-Protokolle udg. gemeldet und veröffentlicht werden.
Wie kann das sein?

Die Modems/Router von Internet Provider (A1, Telekom, UPS, …) sind extrem billige Geräte. Sie nutzen, wie viele andere Internet-fähige Geräte (Switches, NAS, Tablets, Smartphones, Smart-TVs, …) Software-Module die „open source“ sind und für kommerzielle Zwecke sogar gratis verfügbar sind. Und hier liegt das Problem. Falls in diese Software-Module Sicherheitslücken udg. erkannt und beseitigt werden, dauert es lange, wenn überhaupt, dass die Internet-Provider einen Sicherheits-Patch/-Update erstellen und liefern. Leider! Wie mein Modem-Router.

Aus diesem Grund verwende ich seit 2007 mein eigenes Firewall-System/-Gerät, welches ich hinter dem Modem/Router von meinem Internet-Provider anschließe.

Folgende Dinge bietet mein dazwischen-geschaltetes Firewall-System:

  1. Ports blockieren (nach Innen und Außen) die nicht notwendig sind
  2. verlässlich, einfach und immer aktuell IP Pakete blockieren/wegwerfen die infektiös sind (Attacken: DOS, DDOS, Kill-Bits, Trojaner, Viren, …)
  3. verlässlich und einfach Werbe-Fotos/-Videos blockieren
  4. verlässlich, einfach und immer aktuell einzelne URLs, IP-Adressen oder Netzwerke blockieren, welche für ihre Schad-Programme (Viren, Trojaner udg.) bekannt sind
  5. einfach ganze Gruppen an Inhalte (Web-Adressen) sperren/filtern, wie z. B.: Casino, Viagra, Warez, …
  6. Unsichtbare Web-Cache (Proxy) der Bilder und andere Dateien (wie z. B. Google-Logo-Bilder) beim ersten Besuch/Aufruf einer Webseite speichert –> ab dann kommen diese Inhalte von meinem Firewall/Web-Cache und nicht aus dem Internet –> schneller surfen & große Dateien herunterladen
  7. DHCP Dienst: meine Geräte haben/bekommen immer die gleichen privaten IP-Adressen (seit 2007)! Ich muss meine Netz-Laufwerke (NAS), Drucker, Scanner etc. nie konfigurieren (obwohl ich inzwischen 6 Mal umgezogen/übersiedelt bin). Ich muss nur die MAC-Adressen neue Geräte, die ich mir kaufe, einmalig eingeben, und die Regeln (was darf dieser und was nicht) für diese festlegen.
  8. Traffic Shaping: verteilt den Datenlasten zugunsten von Web-Surfen oder Emails-Lesen automatisch, während große Dateien von irgendeinem PC oder Notebook heruntergeladen werden.
  9. Verbieten von „ET nach Hause telefonieren“: Ich kann mir nach der Installation von neuem App oder Anwendung auf dem PC, genau anschauen, wohin/mit wem sich dieses Verbinden will und welche Daten sie zu senden versucht. Je nach Bedarf erlaube ich den Zugang nach Außen durch diese App/Anwendung oder ich blockiere es.
  10. Das Betriebssystem, die Modulen und Regeln sind immer Up-to-Date (aktuell).
  11. Intrusion Detection System (IDS): Einbruchs-Versuche in meinem Netz werden protokolliert (wann, IP, Port, welche Art), verhindert und ich könnte sogar den Absender zurück-attackieren lassen (juristische Grauzone!).

Alles, was man dazu benötigt ist, ein kleiner Rechner, mit sehr geringem Strom-Verbrauch und mindestens zwei Ethernet-Büchsen (RJ-45) und eine eingebautes (Onboard) Wi-Fi Modul mit Antenne.

Als Firewall-Betriebssystem kann man dann IPFire oder OPNsense oder pfSense Community installieren. Hände weg von eingestellte Systemen wie m0n0wall oder IP Cop! Diese werden seit langem nicht mehr weiterentwickelt (Rest In Peace m0n0wall! Du hast mir das Leben als GBH-Admin um einiges leichter gemacht).

Der Fall Crypto AG

„Sicherheit“ ist nur ein Gefühl. 100 prozentige Sicherheit gibt es nicht! Niemand ist 100 prozentig neutral!

Die Schweizer Firma „Crypto AG“ stellte Maschinen für professionelle Verschlüsselung her.
Diese wurden sowohl von Firmen, aber auch von Staaten, Nachrichten-Dienste, internationale Organisationen und Konzerne eingesetzt.

Irgendwann stellte sich heraus, dass die Crypto AG von BND und CIA betrieben und deren Verschlüsselungs-Maschinen/-Methoden/-Algorithmen absichtlich mit „Lücken“ versehen waren …!

Mehr dazu in dieser Doku/Reportage, sowie dieser SRF Doku auf YouTube.

Was der Fall von Crypto AG zeigt: Wir dürfen keine Verschlüsselungs-Systeme, DNS, VPNs udg. blind vertrauen!