Die Organisation, die für die Entwicklung der Verschlüsselungssoftware OpenSSL verantwortlich ist, macht fehlendes Geld für die Sicherheitslücke Heartbleed verantwortlich. Durch sie können Angreifer Passwörter und Kontodaten auf Millionen Internetseiten mitlesen. In einem Blogbeitrag beklagt der Finanzbeauftragte der OpenSSL Software Foundation, Steve Marquess, vor allem die mangelnde Unterstützung durch Konzerne und Regierungen, die die kostenfrei erhältliche Software für ihre Produkte nutzen, aber die Entwickler nicht unterstützen.
Um sich zu finanzieren, biete die Stiftung solchen Firmen, die OpenSSL nutzen, eigene Kundendienst-Verträge an. Außerdem könne man die Entwickler auf Honorarbasis für spezielle Anpassungen an der OpenSSL-Software buchen. Viel Geld kam dabei aber nicht herein. "In den fünf Jahren, in denen es die Stiftung gibt, hat sie nie mehr als eine Million Dollar pro Jahr umgesetzt", schreibt Marquess.
Viele Firmen seien nicht bereit, sich an den Kosten für die Software zu beteiligen, mit der sie ihre internen Netzwerke absichern oder die sie zum Betrieb ihrer Online-Dienste benutzen. Darunter seien auch viele der größten amerikanischen Firmen, schreibt Marquess, nennt aber keine Namen: "Ihr wisst, wer ihr seid."
Den kleinsten Teil des Umsatzes bringen laut Marquess freiwillige Spenden ein: nur etwa 2000 Dollar jährlich. Allerdings seien in der vergangenen Woche auf Grund der Veröffentlichung des Heartbleed-Fehlers etwa 9000 Dollar bei der Stiftung angekommen - größtenteils aus privaten Kleinspenden in Höhe von jeweils fünf oder zehn Dollar.
Aufgrund der schlechten finanziellen Situation gebe es in der Stiftung lediglich einen hauptamtlichen Mitarbeiter. Alle anderen OpenSSL-Entwickler und -Helfer seien darauf angewiesen, einem anderen Beruf nachzugehen und können sich nur in ihrer freien Zeit um die Weiterentwicklung und Prüfung der Verschlüsselungs-Software kümmern - oder die Anfragen von kleineren und größeren Firmen zu beantworten, die die Software benutzen. "Es ist kein Wunder, dass ein paar überarbeitete Freiwillige den Fehler übersehen haben. Es ist ein Wunder, dass so etwas nicht schon öfter passiert ist", so Marquess.
Er fordert mehr Personal. "Es müsste mindestens ein halbes Dutzend Vollzeit-Entwickler geben", schreibt Marquess, "die sich auf die Entwicklung und Pflege von OpenSSL konzentrieren können, ohne nebenbei Geld verdienen zu müssen."
Immerhin: Die anonymen Spender sind dankbar und sprechen dem Entwicklerteam auch in E-Mails Mut zu. Einer hat laut Marquess seiner Spende folgende Nachricht beigefügt: "Danke, dass ihr etwas wirklich verdammt Schwieriges macht - und noch dazu umsonst."