Facebook iconTwitter icon
B2B-Network:
Open Source – mit Sicherheit?!
Open Source – mit Sicherheit?!
Time icon 4 May 2018, 9:05 am

Die nächste Sicherheitslücke bei Intel-Prozessoren macht deutlich: Kein Programm und keine Hardware ist davor gefeit. Umso schlimmer, dass das Thema IT-Sicherheit vor nicht allzu langer Zeit selbst bei Entwicklern oftmals nicht höchste Priorität innehatte. Nun erhält umfassende Sicherheit den gebührenden Stellenwert und so manches Unternehmen stellt sich folglich die Frage, ob verwendete Open Source-Komponenten überhaupt sicher sind? Sollte möglicherweise aller frei zugänglicher Code aus den Unternehmensnetzwerken getilgt und durch eigene Entwicklungen ersetzt werden? 

Fakt ist: Die meisten Unternehmen verwenden an der ein oder anderen Stelle eine öffentliche Bibliothek oder Open Source Code aufgrund der einfachen Verfügbarkeit. Denn wie der Name bereits besagt, sind diese digitalen Güter öffentlich und damit frei zugänglich. Für ihre Verwendung fallen keine Entwicklungszeiten oder -kosten an. Der Verzicht käme Unternehmen höchstwahrscheinlich teuer zu stehen: Bei einem durchschnittlichen Anteil von einem Drittel Open Source Code pro Produkt müsste man eine mindestens um 50 Prozent verlängerte Entwicklungszeit veranschlagen – oder das Developerteam entsprechend aufstocken. Übrig bleibt also eigentlich nur die Option, Open Source Komponenten so sicher wie möglich zu verwenden. Worauf sollte man dabei achten?

 

Prävention hat oberste Priorität

Zwar postuliert Linus’ Gesetz, dass alle Open Source Schwachstellen durch die permanente Analyse von Entwicklern und Anwendern zeitnah entdeckt und daraufhin geschlossen werden – doch leider scheitert dies in vielen Fällen. Der State of Software Security Report 2017 kommt zu dem Schluss, dass 44 Prozent aller Open Source basierten Anwendungen Sicherheitslücken haben. Und oft können diese nicht geschlossen werden, weil es zu wenig fähige Softwarespezialisten, zu wenig Zeit oder gar eine zu kleine Community um das Produkt herum gibt. Aus diesem Grund sollte Prävention im Zentrum der Open Source Absicherung stehen. 

 

Ohne Audit läuft nichts

Entsprechend sollte ein umfassender Sicherheitsaudit gleich zu Beginn durchgeführt werden. Potenzielle Sicherheitslücken werden so direkt aufgedeckt und können entweder über die Community oder selbst gelöst werden. Auch erworbene Software sollte einem Audit unterworfen werden, um das Produkt auf seine Beständigkeit zu testen. Da ein Audit jedoch eine aufwendige Prozedur bedeutet, kann dies nicht für allen frei zugänglichen Open Source Code durchgeführt werden. Es bietet sich an, die zentralen und meistgenutzten Bibliotheken vorab zu auditieren und in eine Policy aufzunehmen. So ist jederzeit einsehbar und eindeutig, welche Open Source Materialien zur Entwicklung verwendet werden dürfen. 

 

Immer up to date mit schnellem Patch Management

Nur weil eine Software zu einem bestimmten Zeitpunkt sicher war, muss sie das nicht in der Zukunft sein. Ein engmaschiges Patch Management, das von zentraler Stelle gesteuert wird, ist daher unerlässlich. Nur so können neu entdeckte Sicherheitslücken zeitnah geschlossen werden. Insbesondere bei Linux-Kernels reagiert die große Community sehr schnell auf Probleme: Es kann vorkommen, dass binnen eines Tages eine Lücke entdeckt und wieder geschlossen wird. Auch wenn das den Ausnahmefall darstellt, sollte ein gutes Patch Management dies möglichst abbilden können. Und nicht nur Open Source ist davon betroffen – auch alle andere Hard- und Software sollte einem schnellen Patch Management unterliegen. 

Kein Code kann jemals absolut sicher sein. Das ist jedoch kein Grund, sich nicht um größtmögliche Absicherung zu kümmern und bereits im Vorfeld Maßnahmen gegen einen möglichen Angriff zu ergreifen. Richtig eingesetzt, kann Open Source die eigenen Entwicklungen nicht nur beschleunigen, sondern zusätzlich die IT-Sicherheit im eigenen Netzwerk erhöhen. 

Loader