Hackerangriffe haben die Diskussion über die Sicherheit von Open-Source-Software (OSS) neu entfacht. Doch das eigentliche Problem liegt nicht in der Art der Softwareentwicklung, sondern im Umgang mit Linux und Co.
Ich hatte einen teuflischen Plan – und ich habe ihn umgesetzt. Vor sechs Monaten habe ich eine interne Test-Phishing-Kampagne aufgesetzt. Ich wollte checken, ob unsere eigenen IT-Security-Experten auf diese Mails reinfallen und sie dafür sensibilisieren. Also warf ich meine Angel aus…
Und dann kam der Hammer. Niemand hatte auf die Mail geklickt. Null. Ich freute mich und war stolz auf unser Team. Allerdings nur so lange bis ich merkte, dass niemand die Mail erhalten hatte. Unser Spamfilter hatte sie abgefangen und in Quarantäne gelegt. Immerhin hatte mein Test gezeigt, dass dieser super funktioniert.
Doch so einfach ist es mit Angriffen nicht immer. Denn z. B. Spamfilter schützen nicht vor Lücken innerhalb einer Software. Wie heftig die Folgen von Sicherheitslücken sein können, hat vor einigen Monaten eine Schwachstelle in der Apache-Java-Logging-Open-Source-Bibliothek „Log4j“ gezeigt. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) stufte die IT-Bedrohungslage sogar auf Rot.
„Log4j“ hält Ereignisse wie in einem Logbuch fest.
Problem 1: Durch die Schwachstelle können Angreifer leicht Softwarecodes auf den Servern ausführen.
Problem 2: Die Lücke ist sehr weit verbreitet. Die meisten Anwender haben die Bibliothek so gerne und selbstverständlich genutzt und dabei den Überblick verloren, wo und welche Version eingesetzt wird.
Das Problem liegt demnach nicht in Open Source Software, sondern im Umgang damit. Umso trauriger stimmte es mich, dass online die Diskussion über die Sicherheit von Open Source (OS) aufkam.
Open Source hat Potenzial
Die Akzeptanz für Linux und Co. ist in den vergangenen 20 Jahren zwar enorm gestiegen. Das Marktforschungsunternehmen Gartner aus den USA prognostiziert sogar, dass mehr als 70 Prozent der Unternehmen ihre IT-Ausgaben für Open-Source-Software erhöhen werden*. Dennoch halten sich einige Vorbehalte hartnäckig… 🙁
Immer wieder zweifeln selbsternannte oder von den Medien inthronisierte Experten die Sicherheit von Open Source Software an. Dabei ist offensichtlich, dass das Problem nicht OS selbst ist, sondern viel mehr der Umgang mit dem Thema Sicherheit. Denn auch bei der Entwicklung proprietärer Anwendungen kommt es darauf an, dass die Entwickler Sicherheitsaspekte von vornherein beachten statt sie nachträglich dranzubasteln. Und das müssen sie natürlich ebenso bei Open Source Software, wo der Quellcode offen ist. Security by Design trifft am Ende alle Implementierungen unabhängig von der Lizenz.
Es gibt Bestrebungen, Teile des Linux-Kernels auf Rust umzustellen, weil es speichersicherer ist als C/C++. Darin zeigt sich doch, dass den Open Source Entwicklern die Schwächen ihrer Lösungen durchaus bewusst sind. Sie arbeiten an Optimierungen, gemeinsam ;O).
Was heißt Open Source?
Anwender dürfen diese Software also nicht nur einsehen und nutzen, sondern auch verändern. Das heißt aber nicht, dass Nutzer damit machen dürfen, was sie wollen. Die Urheber*innen können mit ihren Lizenzen festlegen, was bei der Weiternutzung erlaubt und verboten ist. So können sie beispielsweise jede kommerzielle Nutzung oder Weitervermarktung ausschließen.
Unzählige kommerzielle Angebote basieren jedoch auf einer freien Software. Selbst im iPhone schlummert Open Source. Denn Apple hat wie viele Unternehmen das riesige Potenzial von OSS erkannt. Die schiere Menge an zu großen Teilen freiwilligen Coder*innen führt zu einer stetigen Weiterwicklung und Optimierung. Selbst das Internet wäre in der heutigen Form ohne den Open-Source-Ansatz undenkbar. Nur weil sich Tausende an der Entwicklung beteiligten, war es möglich, solch ein weltumfassendes Netz zu erschaffen.
Open Source lebt vom Gemeinschaftsgedanken. Ohne eine aktive Community geht es nicht. Daher sieht die Free Software Foundation Europe e.V. das Weitergeben von Informationen als eine von vier Grundfreiheiten für OS an. Das Ausführen, Analysieren und Anpassen gehören ebenfalls dazu.
Leider ist ausgerechnet das so wichtige „Weiterleiten“ zum Problem geworden. Zunehmend verstehen Unternehmen Open Source lediglich als Quelle. Sie nutzen die Erfahrungen und Verbesserungen der Software, ohne ihr eigenes Wissen zur Verfügung zu stellen. Doch nur, indem man einigen Hirnschmalz reinsteckt, können Schwachstellen wie „Log4j“ ausfindig gemacht und schließlich behoben werden. Mit einem Schwachstellenscan würde man lediglich rausfinden, ob die Binary vorhanden ist, jedoch nicht, ob sie genutzt wird. – Das ist ein gutes Beispiel dafür, wie komplex und herausfordernd IT heutzutage geworden ist. Umso besser, und damit zurück zum eigentlichen Gedanken, ist es doch, wenn viele Fachleute ihr Know-how vereinen.
Alle ITSorgenfreimacher sind Linux-Fans
Das gesamte bitbone-Team lebt und pflegt den Community-Gedanken. Meine KollegInnen und ich sind Teil einer großen Gruppe leidenschaftlicher Problemlöser. Wir haben die riesigen Vorteile von OS erkannt und wenden sie für Sie an. Ich bin und bleibe Linux-Fan. Es lässt sich individuell anpassen und erlaubt Ihnen eine extrem hohe Funktionalität. Zudem ist es enorm schnell und wird selbst auf Dauer nicht langsamer. Sie können Distributionen direkt per DVD testen, ohne das System zu installieren. Zudem braucht Linux wenig Speicherplatz.
Vielleicht bin ich ein Romantiker, aber ich würde mir wünschen, dass wieder mehr Unternehmen zum Grundgedanken von Open Source zurückkehren. Geben ist nicht nur seliger denn Nehmen – es ist auch effizienter, sicherer und profitabler. Das Lösen von Problemen ist mein Antrieb und meine Leidenschaft. Sobald ich es gelöst habe, tüftle ich schon an der Optimierung. Nur angucken reicht mir eben nicht, ich muss anpacken.
Ihr
Sebastian Scheuring
Vorstand
T: +49 931 250993-10
M:
Connect auf LinkedIn
Connect auf Xing
*https://www.fosslife.org/open-source-trends-2022-and-beyond