:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Offen aber nicht schutzlos So funktioniert Open-Source-Sicherheit
Open-Source Software, kurz OSS, hat in den letzten Jahren einen beeindruckenden Reifegrad erreicht. Wie sicher kann quelloffene Software aber wirklich sein, insbesondere wenn es um den Einsatz im Unternehmen geht? Dieser Artikel soll Licht ins Dunkel bringen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Marktforscher haben die Qualität quelloffener Lösungen längst erkannt. Gartner beispielsweise empfiehlt Unternehmen, Open-Source-Datenbanken als erste Wahl für geschäftskritische Anwendungen in Betracht zu ziehen.
Laut des Gartner-Reports „The State of Open-Source RDBMSs, 2015“*, der im April 2015 veröffentlicht wurde, werden „bis 2018 über 70 Prozent neuer In-House-Anwendungen auf einem OSDBMS [Open-Source-Datenbankmanagementsystem] entwickelt werden. Außerdem werden mehr als 50 Prozent bestehender kommerzieller RDBMS [relationaler DBMS]-Instanzen entweder bereits [auf Open Source] umgerüstet sein oder sich im Prozess [der Konvertierung] befinden.“
Quelloffene Lösungen bieten Kunden die Möglichkeit, Kosten einzusparen und somit vermehrt in Innovation zu investieren, während Performance und Effizienz aufrechterhalten werden. Trotzdem werden diese Vorteile immer noch von Bedenken bezüglich der Sicherheit von OSS-Lösungen überschattet.
Der Unterschied
Um OSS-Sicherheit zu verstehen, müssen Open-Source-Lösungen zunächst von sogenannten Closed-Source-Lösungen, deren Quellcode nicht öffentlich verfügbar ist, abgegrenzt werden. Im Grundsatz ähneln sich die Sicherheitstechniken und -technologien von Open- und Closed-Source-Software. Den großen Unterschied macht aber die Transparenz aus.
Bei OSS ist alles für alle sichtbar und jedermann kann den Code überprüfen. Dadurch unterliegt OSS der ständigen Kontrolle durch die wachsamen Augen einer wachsenden Gruppe (Community) sowohl professioneller als auch unabhängiger Beobachter, die nach Fehlern und Hintertüren suchen. Jeder kann jederzeit den Code einsehen und die Hand heben, um auf ein Problem aufmerksam zu machen. Postgres und viele andere Open-Source-Projekte verbessern sich aufgrund dieser Transparenz ständig.
Anstatt geistiges Eigentum zu schützen, den Markt zu beeinflussen oder einen potenziellen Reputationsschaden zu kontrollieren, konzentrieren sich Mitwirkende an Open-Source-Projekten (sogenannte Contributors) darauf, die Software besser zu machen. Ihre Interessen decken sich mit denen der Anwender, da viele derjenigen, die den Code überprüfen, selbst Anwender sind.
Diese Pluralität und Vielfalt unter den Kontributoren kann zu einem Mangel an Vorhersehbarkeit führen, wenn es um die Entwicklung einer stringenten Produkt-Roadmap geht. Im Gegenzug gewährt der Ansatz jedoch ein großes Plus in Sachen Flexibilität, Sicherheit und Innovation.
Die Community besteht aber nicht ausschließlich aus Endanwendern. Auch viele Unternehmen arbeiten in der Community zusammen und investieren personelle, technische sowie zeitliche Ressourcen in die Entwicklung der Software. Indem sie gemeinsam an einem Strang ziehen, ergibt sich eine strategische Richtung, die an den Anforderungen der Endanwender ausgerichtet ist und nicht etwa an den kommerziellen Interessen eines einzelnen Anbieters.
Im Gegensatz dazu werden Closed-Source-Lösungen nur von einem einzelnen Contributor entwickelt – nämlich einem Unternehmen oder Einzelentwickler – und haben daher klare Roadmaps, die es exakt umzusetzen gilt. Das gewährt einen gewissen Grad an Verlässlichkeit und Vorhersagbarkeit, in welche Richtung sich die Software entwickelt.
Solche Projekte sind aber nach wie vor Blackboxes. Kunden können den Code nicht überprüfen und müssen sich auf die Maßnahmen verlassen, die der Anbieter in Sachen Datensicherheit trifft. Einige etablierte Markführer drohen ihren Kunden sogar mit rechtlichen Konsequenzen, sollten diese versuchen, die Sicherheit ihrer Software auf die Probe zu stellen.
Das sind natürlich extreme Beispiele und dieser Artikel ist nicht als Polemik gegen Closed-Source im Allgemeinen gedacht – viele Unternehmen haben fähige Teams, die sich mit der Sicherheit ihrer Software befassen und können gute Ergebnisse vorweisen. Doch der Mangel an Transparenz bleibt und zwingt ihre Kunden dazu, ihnen blind zu vertrauen, wenn es um ihre sensiblen und geschäftskritischen Unternehmensdaten geht.
Wie es funktioniert
Viele OSS-Lösungen haben Contributors, die einen Großteil ihrer Zeit darauf verwenden, sie instand zu halten und zu verbessern – besonders, wenn die Lösungen schon einige Zeit auf dem Markt sind. Die verlässlichsten und erfahrensten Kontributoren werden oft zu sogenannten „Committers“ –verantwortlich dafür, Änderungen am Quellcode für offizielle Releases vorzunehmen. Neben diesen gibt es eine große Zahl von Hobbyisten, Freiwilligen und Enthusiasten, die zur andauernden Diskussion um die Evolution des OSS-Projekts ihrer Wahl beitragen. Alle Beteiligten überprüfen ständig den Code.
Während jeder den Code testen kann, handhabt die Postgres Community beispielsweise Sicherheitszwischenfälle in einer disziplinierten Weise, falls sie dennoch auftreten sollten. Die Community meldet und behebt Probleme hauptsächlich durch die Organisation „Common Vulnerabilities and Exposures“ (CVE), die ein Verzeichnis von allgemein bekannten Sicherheitslücken in Computersystemen unterhält.
Jeder kann den „Security“-Link auf der PostgreSQL.org-Homepage nutzen, um Sicherheitsprobleme zu melden oder sie einzusehen. Bei Interesse suchen sie auf Mitre.org nach „PostgreSQL“. Zudem kooperiert die Community mit „Packagers“ und SaaS-Anbietern für PostgreSQL, also Unternehmen mit einem Bezug zu Postgres, um Patches für Anwender zu beschleunigen.
In der Praxis
Sehen wir uns den tatsächlichen Ablauf am Beispiel der Postgres Community an:
- 1. Wird ein Problem entdeckt, meldet es der Finder per E-Mail bei dem Kernteam aus Postgres-Committers, eine Gruppe von erfahrenen Postgres-Contributors. Sie untersuchen das Problem, den Schweregrad, die Auswirkungen auf das bestehende System und eine mögliche Lösung (Fix). Ist der Bug schwerwiegend, wird der Fix priorisiert und kann innerhalb von Tagen für Unternehmen, die Postgres nutzen, bereitgestellt werden.
- 2. Nachdem das Vorgehen und der Zeitrahmen gesetzt sind, wird das Fix-Update von einem erfahrenen Team aus Contributers und Committers entwickelt und die Veröffentlichung geplant.
- 3. Der Patch wird getestet, anschließend in der Regel in den Source-Tree integriert und erneut getestet.. In seltenen Fällen – nämlich dann, wenn ein besonders schweres Problem auftritt – wird die Integration in den Source-Tree erst im letztmöglichen Moment durchgeführt.
- 4. Der Patch wird veröffentlicht und alles geht wieder seinen gewohnten Gang der kontinuierlichen Überprüfung und Verbesserung.
Unterm Strich zeichnen sich Open-Source-Projekte mit sehr großen Communities wie Postgres dadurch aus, potenzielle Sicherheitsprobleme schnell identifizieren und beheben zu können. Sie sind völlig unbelastet von Firmenagenden und Bürokratie, profitieren von der Größe ihrer Community und florieren ihrer Natur gemäß durch Transparenz.
* Über den Autor
Dave Page gilt als Community-PostgreSQL-Veteran und ist Vice President and Chief Architect, Tools and Installers, bei EnterpriseDB. Der Anbieter einer Open-Source-basierten, relationalen Datenbanklösung wurde im Herbst 2015 zum zweiten Mal in Folge im Leader-Quadranten des „Magic Quadrant for Operational Database Management Systems“ platziert.
(ID:44256779)
:quality(80)/images.vogel.de/vogelonline/bdb/1940400/1940448/original.jpg "Die Open-Source-Gemeinschaft übernimmt die Vorreiterrolle bei der Gestaltung einer entwicklerfreundlicheren Software-Signierumgebung. (Tierney - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945983/original.jpg "Einige Best Practices helfen, bei der Nutzung von Open-Source-Komponenten auf der sicheren Seite zu bleiben. (peshkova - stock.adobe.com)")