FSFE warnt: NHS sollte quelloffenen Code nicht depublizieren

Berichten zufolge plant der englische National Health Service (NHS England), die meisten seiner öffentlichen Quelltext-Repositories auf „Privat“ umzustellen, warnt die Free Software Foundation Europe (FSFE) aktuell. Das scheint als Reaktion auf die Sorge zu erfolgen, dass öffentliche Quelltext-Repositorys mittels Künstlicher Intelligenz auf Schwachstellen untersucht werden könnten.

Die FSFE gibt in einer Meldung dazu an, dass eine interne Richtlinie mit dem Titel „SDLC-8“ erfordere, öffentlich zugängliche Repositories auf „Privat“ umzustellen, außer in Fällen, in denen eine explizite Ausnahme genehmigt wird. Die FSFE sieht darin einen Schritt in die falsche Richtung. Bereits veröffentlichte Repositories offline zu nehmen schützt nicht davor, dass Angreifer bereits aufgesetzte Systeme, Abhängigkeiten, Schnittstellen und Binärdateien analysieren.

Depublizieren macht Code nicht „ungesehen“

Das Depublizieren der Quellcodes mache diesen nicht ungesehen – ebenso wenig entfernt das bereits existierende Kopien. Zudem handele es sich um keine effektive Sicherheitsmaßnahme. Stattdessen entferne der Schritt eine fundamentale Säule der Sicherheit, nämlich die Möglichkeit von unabhängigen IT-Experten, IT-Forschern und anderen öffentlichen Institutionen, den Code zu inspizieren, weiterzuverwenden und zu verbessern sowie Sicherheitslücken darin zu melden, erörtert die FSFE.

Johannes Näder, Senior Policy Project Manager bei der FSFE, äußerte sich auch dazu: „Das Zurückziehen von öffentlich zugänglichem Code ist keine Sicherheitsstrategie. ‚Security by Obscurity’ gilt schon seit Langem nicht mehr als wirksame Sicherheitsmaßnahme. Die Umstellung von Repositorys auf den privaten Modus schützt die NHS-Systeme nicht. Sie schränkt lediglich ein, wer bei der Suche nach und Behebung von Problemen helfen kann.“

Gegenüber The Register sagte ein NHS-England-Sprecher, dass es sich lediglich um eine temporäre Maßnahme handele, um die Cybersicherheit zu stärken und abzuwägen, welche Auswirkungen die rasanten Entwicklungen der KI-Modelle haben. Man werde weiterhin Quellcode veröffentlichen, wenn es einen klaren Bedarf gebe.

Eine der Kernforderungen der FSFE ist, dass aus öffentlichen Mitteln finanzierte Software als freie Software veröffentlicht werden soll. Die bisherigen NHS-Richtlinien sähen das bislang ebenso vor. Neuer Source-Code für öffentliche Dienste sollte offen und wiederbenutzbar sein, da öffentliche Dienste auf öffentlichen Geldern fußen. Die Vorgaben für UK-Behörden sehen das ebenso vor, mit nur eng begrenzten Ausnahmen. Die FSFE fordert daher den NHS England auf, alle Richtlinien zu standardmäßig als privat behandelten Quellcode zurückzuziehen und sich dazu zu bekennen, dass freie Software der Standard für öffentlich finanzierte Software bleibe.

Die FSFE hatte im März dieses Jahres Probleme mit einem Zahlungsdienstleister zur Spendenabwicklung gemeldet. Dafür wurde eine Lösung gefunden.

(dmk)