Suchen

Offene Standards und offener Quellcode für mehr Sicherheit Open Source Security im Unternehmenseinsatz

Autor / Redakteur: Lothar Lochmaier / Peter Schmitz

Open Source-Lösungen fassen in Unternehmen zunehmend Fuß, aber aus Sicht von Sicherheitsspezialisten gibt es noch relevante Fragestellungen: Sind flankierende Sicherheitskonzepte zum Einsatz von quell-offenen Lösungen bereits marktreif und belastbar für den alltäglichen Einsatz? Security-Insider.de gibt mit diesem Beitrag einen Einblick in mögliche Open Source Sicherheits-Strategien.

Firma zum Thema

Open Source Sicherheits-Software profitiert von offenem Quellcode und damit verbunden mehr Qualitätskontrolle durch die Community.
Open Source Sicherheits-Software profitiert von offenem Quellcode und damit verbunden mehr Qualitätskontrolle durch die Community.
( Archiv: Vogel Business Media )

Der Trend zu flexiblen Konzepten in Richtung der professionellen Unternehmenslandschaft ist inzwischen kaum zu übersehen: Offene Standards und Open Source stehen vielerorts im Mittelpunkt. Der Einfluss auf die IT-Industrie wächst. “Während vor einigen Jahren der Linux-Pinguin auf nahezu jedem Stand zwar irgendwo zu sehen war, so war es dieses Jahr bereits selbstverständlich, dass Unternehmen Open Source verwenden, selbst entwickeln und gezielt einsetzen”, führt Wildeboer, Open Source Evangelist bei Red Hat aus.

Für den Experten eines der führenden Hersteller steht die neue Marschrichtung fest: “Offene Standards haben die vernetzte Welt von TCP/IP über HTML bis XML erst möglich gemacht. In Zukunft wird sich wohl kaum noch ein Anbieter auf dem Markt wagen können, wenn er die Unterstützung für offene Standards vernachlässigt”, bilanziert Jan Wildeboer die schleichende Evolution, die fast schon einer kleinen Revolution gleich käme.

Profitieren von dieser dynamischen Entwicklung können auch die Sicherheitsspezialisten. “Open Source ist ein essentieller Beitrag zur Unternehmens-IT, denn nur durch Offenheit kann Sicherheit sowohl in technischer wie auch unternehmerischer Sicht erreicht werden”, betont etwa Michael Kleinhenz von der tarent Gesellschaft für Softwareentwicklung und IT-Beratung mbH.

Wie gerade die “proprietäre Szene” von quelloffenen Sicherheitskonzepten und Lösungen profitiere, das beschreibt Berater Alexander Kodermann von der Berliner SerNet GmbH. Das Gesetz der Peer Review, also die Begutachtung in gleichrangigen Fachkreisen, sei gerade bei der wissenschaftlichen Veröffentlichung das Merkmal Nummer Eins in der Qualitätssicherung, das auch bei Softwarelösungen in vollem Umfang zutreffe.

Der Experte macht beim Überblick über die einzelnen Marktsegmente in der freien Szene eine spezifische Stärke von offenen Konzepten im Bereich von Unternehmenslösungen aus: “In der Infrastruktur ist OpenSource schon deutlich weiter als bei Client-Anwendungen”, bringt Kodermann die Vorteile mit Blickrichtung Security-Management auf den Punkt.

Seite 2: Offene Lösungen sorgen für größeren Investitionsschutz

Offene Lösungen sorgen für größeren Investitionsschutz

Als zukunftsweisend stuft auch Peer Heinlein, Geschäftsführer der Heinlein Professional Linux Support GmbH, den Reifegrad der offenen Lösungsarchitekturen im alltäglichen Business ein. Denn mehr Sicherheit könne eine ganz praktische Kosten-Nutzen-Rechnung nach sich ziehen. “Neben der Tatsache, dass die Software naturgemäß nicht herstellergebunden ist und damit flexibler und langfristiger eingesetzt werden kann, stellt Open Source-Software natürlich auch eine zukunftssichere Investition dar.”

Weder lasse sich eine offene Softwarelösung über Nacht einstellen, noch von einem anderen Hersteller aufkaufen oder aus anderweitigen geschäftlichen Interessen absichtlich abwickeln, skizziert Heinlein die Vorzüge. Der Experte beobachtet nämlich seit längerem die Tendenz, dass qualitativ gute Software von der Konkurrenz aufgekauft und zum Schutz des eigenen Produkts “absichtlich eingestellt werde”.

Die Folgen bringt der Linux-Experte so auf den Punkt: “Wer eine solche Software nutzte, ist diesem Treiben schutzlos ausgeliefert: Er verliert ein meist tadellos funktionierendes Produkt und muß sich gezwungenermaßen nach neuen Lösungen umsehen, was natürlich auch erhebliche Aufwände und Kosten verursacht”, rechnet Peer Heinlein den Security-Spezialisten vor.

Offener Code und damit verbundenes Vertrauen in die Lösung sprechen für OSS

Daneben sieht der Experte weitere Vorteile der offenen Architekturen, wie das Vermeiden einer “Lizenzkostenfalle, sowie ein offener Quellcode zur eigenen oder der an Dritte ausgelagerten Weiterentwicklung.” Einheimische Spezialisten aus der freien Szene gehören aber nicht nur im Bereich der E-Mail-Security und rund um den Spamschutz zu den bevorzugten Adressen. “Auch sonst stellen wir mit unseren Kunden immer wieder fest, daß sich mit Open Source-Tools viele Aufgaben und Problemstellungen sicher, schnell und zuverlässig lösen lassen”, so Peer Heinlein weiter.

Großen Wert legen die Spezialisten dabei auf langfristig ausgerichtete Lösungen: OSS-Lösungen seien dafür prädestiniert, eine tragende Rolle im Bereich der gesamten Unternehmens-Security zu spielen. Für Peer Heinlein stellt sich nämlich immer wieder die Frage, ob man als Unternehmen geschlossenem Code aus Drittstaaten überhaupt blind vertrauen möchte. Die Geschichte lehre immer wieder, dass Wirtschaftsspionage kein Phantasiemärchen sei und Regierungen auch auf Softwareunternehmen einwirkten, um Hintertüren einzubauen.

Als besondere Stärke der freien Szene macht der Experte von Heinlein Professional Linux Support ansonsten die ganze Bandbreite der Infrastrukturdienste aus, also “alles aus der Serverlandschaft, wo Stabilität, Zuverlässigkeit, Flexibilität und Performance zählen. Da ist es dann egal, ob es sich um die Bereiche Security, oder aber um DataCenter ganz allgemein handelt.”

Seite 3: Open Source hat auch noch immer Schwachstellen

Open Source hat auch noch immer Schwachstellen

Dennoch gibt es für kritische Marktbeobachter hier und dort noch verbesserungswürdige Schwachstellen. So weist Open Source im Desktop- Bereich immer noch gewisse Defizite auf. Das bestätigt auch Peer Heinlein. Dies sei jedoch ein Problem, das in erster Linie auf die geringe Akzeptanz und Verbreitung zurückzuführen sei. Trotz noch einiger vorhandenen Kinderkrankheiten: Flankierende Sicherheitskonzepte haben die Welt der Unternehmen erreicht, was auch universitäre Wissenschaftler bestätigen.

“So gut wie alle eingesetzen kryptographischen Algorithmen sind frei zugänglich”, betont Sebastian Feld vom Institut für Internet-Sicherheit an der FH Gelsenkirchen. Der strategische Vorteil: Die mathematischen Konzepte seien bereits im Vorfeld entwickelt und somit der Expertengemeinde vorgestellt. Erst wenn sich ein Algorithmus mehrere Jahre behauptet habe, werde er als sicher angesehen.

Der große Vorteil der offenen Softwarearchitektur liege in der extrahierten Sicherheit. Der Algorithmus bleibe immer gleich, nur der Schlüssel und das Passwort sei geheim zu halten, ebenso wie Schnittstellen oder die Standardisierung. Als Informatiker bestehe das allgemeine Credo jedoch immer noch darin, die Programme möglichst konform zum Standard zu halten, etwa damit diese sich kompatibel zu anderen Programmen verhielten und leichter erweiterbar seien.

“Closed Source ist das im Allgemeinen nicht. Hier werden Infos extra geheimgehalten und es wird oft proprietär gearbeitet”, fasst der Experte zusammen. Oder anders ausgedrückt: “Fehler werden begangen, erkannt, behoben, dokumentiert und veröffentlicht.” Offene Schnittstellen ermöglichten somit eine rasche Innovation, da es viele Ansprechpartner gebe, die an der Wertschöpfungskette mitwirkten, von Fehlersuche und –behebung, über Updates, bis hin zum nachgelagerten Support.

(ID:2044895)