Heartbleed ist schmerzhaft. Technisch schmerzhaft, weil der winzige Fehler im Code der Verschlüsselungssoftware OpenSSL potenziell katastrophale Folgen haben kann und nach Meinung einiger Experten jahrelange Aufräumarbeiten erfordert. Emotional schmerzhaft, weil er das Heilsversprechen von Open-Source-Programmen infrage stellt.  

Dieses Heilsversprechen lautet: Open Source ist immer besser als proprietär. Open Source verspricht Kontrolle, wo proprietäre Software Misstrauen weckt. Open Source verspricht Sicherheit, weil es von jedem überprüft werden kann. Open Source wird von Freiwilligen entwickelt, die mit – pardon – Herzblut bei der Sache sind. Und es kostet die Anwender weniger als proprietäre Produkte oder Lizenzen. Open Source, das sind die Guten.

OpenSSL zum Beispiel ist gut genug, um von Abertausenden Website-Betreibern, Unternehmen und sogar Behörden eingesetzt zu werden. Aber die zeitlichen, finanziellen und organisatorischen Ressourcen der Entwickler sind der Größe des Projekts nicht einmal mehr ansatzweise angemessen. Und deshalb ist es kein Wunder, dass der Fehler in OpenSSL zwei Jahre lang unentdeckt blieb. Es wäre höchstens ein Wunder, wenn solche Fehler nicht passieren würden. 

Gerade einmal elf Entwickler arbeiten permanent an OpenSSL, der Rest sind Freiwillige wie jener, der den fehlerhaften Code schrieb. Diese elf sind von Spenden abhängig und bieten ansonsten Dienstleistungen rund um ihre Software an, um ihre Arbeit zu finanzieren. Immer wenn sie gebucht werden, können sie nicht an OpenSSL selbst arbeiten.

Die Spenden belaufen sich im Schnitt auf etwa 2.000 Dollar im Jahr, nach dem Bekanntwerden von Heartbleed sind es in diesem Jahr immerhin schon ungefähr 9.000 Dollar. Trotzdem ist das viel zu wenig. Steve Marquess von der OpenSSL Software Foundation, die sich um die Finanzierung des Projekts kümmert, will deshalb andere in die Pflicht nehmen: "Unternehmen und Behörden, die OpenSSL einsetzen und es für selbstverständlich betrachten", schreibt er in einem Blogpost.

Doch wenn sich Unternehmen und Behörden an Open Source beteiligen, ist das vielen auch nicht recht. Für sie riecht das nach Einmischung, nach feindlicher Übernahme, nach Unterwanderung. Das Tor-Projekt etwa ist komplett abhängig von Spenden. Zu den regelmäßigen Spendern gehört auch Google, aber die US-Regierung ist der mit Abstand größte Wohltäter. Eine Regierung, die an anderer Stelle an der Abschaffung der Privatsphäre arbeitet, finanziert gleichzeitig eines der wichtigsten Programme zum anonymen Surfen im Netz. Kein Wunder, dass im FAQ des Projekts die Frage auftaucht: "Gibt es eine Hintertür in Tor?"

Der Versuch, Open-Source-Software ohne die Hilfe von Unternehmen und Regierungen zu finanzieren, kann durchaus gelingen: Vor einem halben Jahr beschloss der Kryptografie-Experte Matthew Green, Spenden für eine Überprüfung von TrueCrypt durch Spezialisten zu sammeln. Die beliebte Software zum Verschlüsseln von Dateien und Laufwerken ist ebenfalls ein Open-Source-Produkt und chronisch unterfinanziert. Green hat es geschafft, mehr als 50.000 Dollar von rund 1.300 Spendern einzusammeln, genug für eine mehrwöchige Analyse des TrueCrypt-Codes. Aber 1.300 Spender sind sehr wenig, wenn man bedenkt, dass die Software bis heute mehr als 30 Millionen Mal heruntergeladen wurde. Und streng genommen müsste das Audit nach jedem größeren Update der Software zumindest in Teilen wiederholt werden. So wie jede andere derart weit verbreitete Open-Source-Software nach jedem größeren Update überprüft werden müsste.

Damit Open Source sein Heilsversprechen halten kann, müssen zumindest die großen Open-Source-Projekte professionalisiert werden. Sie müssen Unternehmen ähnlicher werden – mit einer hinreichend großen Zahl an Vollzeit-Entwicklern, Managern und einer stabilen finanziellen Basis. Entweder sind die Nutzer bereit, dafür regelmäßig Geld zu spenden – oder sie müssen zugeben, dass es ohne die Hilfe von Unternehmen oder staatlichen Stellen eben nicht geht.