Die Grundsätze sicherer Open-Source-Lösungen
Open Source ist im Unternehmensalltag auf dem Vormarsch. Die Vorteile der quelloffenen Software gibt es allerdings nicht ohne ein gewisses Sicherheitsrisiko: Schwachstellen können importiert werden. Unternehmen müssen deshalb ein paar grundlegende Regeln beachten.
Das Prinzip von Offenheit und Kollaboration ist gefragter denn je: Jeder kann Open-Source-Software nutzen, analysieren, kopieren, verändern und weitergeben, sofern er die Lizenzverpflichtungen berücksichtigt. Da der Quellcode der Software frei zugänglich ist, gelten Open-Source-Programme zunächst einmal als sicher. Jeder kann den Code herunterladen und Zeile für Zeile mit eigenen Augen überprüfen. Eine aktive Entwicklergemeinde sorgt dafür, dass Probleme in der Regel auf Herstellerseite schnell behoben werden. Was Unternehmen aber gerne vergessen: Die Schwachstellen von Open-Source-Komponenten, die aus Millionen von bestehenden Bibliotheken entnommen werden, können in die eigene Software importiert werden. Wenn Firmen hier nicht proaktiv gegensteuern, riskieren sie massive Sicherheitslücken.
Ein begehrtes Ziel für Hacker
Tatsächlich ist Open-Source-Software längst zu einem attraktiven Angriffsziel für Hacker geworden. So haben laut dem 2020 Global Threat Intelligence Report (GTIR) von NTT Ltd. Attacken aus dem Cyber-Raum auf populäre Content-Management-Systeme wie WordPress und Drupal deutlich zugenommen. Gerade Unternehmen und Organisationen, die während COVID-19 auf ihre Internet-Präsenz – also Kundenportale, Retail-Seiten oder andere Webanwendungen – angewiesen sind, laufen Gefahr, ins Fadenkreuz von Kriminellen zu geraten. Gleichzeitig machen es die Unternehmen den Angreifern immer noch zu einfach: Aufgedeckte, aber noch nicht gepatchte Schwachstellen öffnen den Hackern den Weg in das Firmennetzwerk, um dort wertvolle Daten zu stehlen und weitere Aktivitäten zu starten.
Unternehmen, die Open-Source-Lösungen im Einsatz haben, müssen deshalb ein paar grundlegende Regeln beachten. Der erste Schritt ist regelmäßiges Patchen. Und hier zahlt sich eine schnelle Reaktion aus: Schwachstellen müssen geschlossen werden, bevor Cyber-Kriminelle sie ausnutzen können. Im Idealfall etabliert ein Unternehmen integrierte und automatisierte Prozesse, um Systeme regelmäßig auf veraltete Betriebssystem- und Kernelversionen zu überprüfen. Hilfreich ist auch ein Jour fixe, an dem die Lösungen auf neue Updates geprüft und diese auch durchgeführt werden. Zu viele Unternehmen lassen allerdings das knappe Zeitfenster zwischen dem Bekanntwerden einer Schwachstelle und dem notwendigen Patchen, um sich vor folgenschweren Angriffen zu schützen, verstreichen. Durchschnittlich 250 Tage vergehen beispielsweise bei Webseiten-Betreibern, bis dieses sogenannte Windows of Exposure geschlossen ist. Im Retail-Umfeld kann es sogar sage und schreibe zwei Jahren dauern.
Nur vertrauenswürdige Drittanbieter sind sicher
Bestandteil einer Sicherheitsstrategie für Open-Source-Lösungen müssen auch klare Policies sein, die festlegen, welche Tools und Komponenten aus der Open-Source-Welt eingesetzt werden dürfen. Zwar brauchen Entwickler für ihre Arbeit den Zugang zu Open-Source-Bibliotheken in nativen Umgebungen – durch rollenbasierte Zuweisungen oder durch eigene interne Repository-Lösungen, die den Zugriff auf externe Ablageorte regeln, kann verhindert werden, dass sie auf unerwünschte Lösungen zugreifen. Neben Standardsoftware haben Unternehmen heute meistens auch Programmpakete von Drittanbietern im Einsatz. Die Gefahr ist groß, dass parallel zu den bekannten Sicherheitslücken damit Schwachstellen ins Firmennetzwerk gelangen, die selbst den Security-Spezialisten nicht bekannt sind. Nahezu unendlich viele Plugins können beispielsweise WordPress ein immer neues Gesicht verpassen, diese Flexibilität sorgt gleichzeitig für zahlreiche Schwachstellen im Code. Ernste Sicherheitslücken, die etwa einen unbefugten Zugang als Administrator erlauben, sind damit alltäglich. Dem können Unternehmen nur mit regelmäßigen Sicherheitstests entgegensteuern, Anwendungen sollten über ihren gesamten Lebenszyklus hinweg aktiv gemanagt und überwacht werden.
Bei der Sicherheit von Open Source ist es entscheidend, dass sich Entwickler und IT-Sicherheitsspezialisten an einen Tisch setzen, um gemeinsam Lösungen zu finden. Angelehnt an den DevOps-Prinzipien wird etwa beim DevSecOps-Modell die Sicherheit in die App-Entwicklung von Anfang bis Ende integriert. Diese Integration erfordert eine neue organisatorische Denkweise ebenso wie neue Werkzeuge. In puncto Sicherheit von Open-Source-Anwendungen dürfen sich Unternehmen keinesfalls mit dem Status quo zufriedengeben, sie müssen das Thema vielmehr proaktiv angehen. Genauso wenig dürfen Unternehmen das Thema Lizenzen vergessen. Verstöße dagegen können im Rahmen von rechtlichen Auseinandersetzung teuer werden. Um im „Dickicht“ der unterschiedlichen Lizenzmodelle, die etwa für Apache, GNU, GPL oder BSD gelten, den Überblick zu behalten, helfen dedizierte Services weiter. Diese scannen die bestehende Open-Source-Anwendungen oder Anwendungen, die entsprechende Libraries verwenden, und erstellen eine Übersicht über mögliche Lizenzverstöße. So sind Unternehmen auf der sicheren Seite.
Photo by Markus Spiske on Unsplash