Suchen

IT-Security und Open-Source-Lösungen So klappt es mit der Open-Source-Software

| Autor / Redakteur: Dipl. Betriebswirt Otto Geißler / Peter Schmitz

Open-Source-Komponenten sparen Entwicklern Zeit und Unternehmen Kosten und Produkte gewinnen dadurch schneller an Marktreife. Open-Source-Bibliotheken bergen aber oft auch gefährliche Schwachstellen. Mit einer profunden Security-Strategie und den richtigen Maßnahmen sind Open-Source-Komponenten aber im Grunde genauso sicher wie andere Software-Lösungen.

Firmen zum Thema

Zur Vermeidung von Hacker-Angriffen wird die Erstellung eines kompletten Inventars der im Einsatz befindlichen Open-Source-Codes empfohlen. Dies soll kontinuierlich auf bekannte Sicherheitslücken überprüft werden – zum Beispiel in der „National Vulnerability Database“.
Zur Vermeidung von Hacker-Angriffen wird die Erstellung eines kompletten Inventars der im Einsatz befindlichen Open-Source-Codes empfohlen. Dies soll kontinuierlich auf bekannte Sicherheitslücken überprüft werden – zum Beispiel in der „National Vulnerability Database“.
(Bild: gemeinfrei / Pixabay )

Softwareprojekte werden heute kaum mehr ganz „von vorn“ begonnen - nicht zuletzt in Anbetracht der sich stetig verkürzenden Release-Zyklen. Zur Einsparung von Ressourcen, greifen Entwickler dann gerne auf Open-Source-Bibliotheken zurück. Dabei sollte man immer im Hinterkopf behalten, dass durch diese Open-Source-Komponenten, die aus einer Vielzahl von bestehenden Bibliotheken stammen, eine Reihe von Sicherheitsrisiken in die Software einfließen könnten. Wobei es natürlich auch Stimmen gibt, die sogar der Meinung sind, dass Open Source Anwendungen sogar die Datensicherheit erhöhen können.

Gravierende Schwachstellen erkannt

Der Veracode-Report „State of Software-Security“ bestätigte, dass rund drei Viertel der Befragten Open-Source-Software nutzen. Ein erheblicher Teil setzt dabei auf Kombinationen zwischen quelloffener Software und eigenen Entwicklungen. Wogegen sich über 10 Prozent sogar voll und ganz auf Open-Source verlässt. Im Schnitt, so der Report, wurden im Rahmen der Untersuchungen in einer Applikation etwa 70 Sicherheitsrisiken entdeckt, die auf Grund verwendeter Open-Source-Komponenten entstanden sind.

Hinzu kommt, dass lediglich rund 20 Prozent der Befragten diese Komponenten auf Sicherheitslücken prüfen. Denn nur gut die Hälfte, so vermuten die Studienautoren, unterhalten ein Verzeichnis über alle extern verwendeten Komponenten. Rund 70 Prozent der Befragten verfügen nur über ein formelles Anwendungssicherheitsprogramm (AppSec). Der Report kam schließlich zu dem Ergebnis, dass über 40 Prozent aller Anwendungen über erhebliche Sicherheitsrisiken verfügen, die auf Open-Source-Komponenten zurückzuführen sind.

Sicherheitsroutinen implementieren

Da quelloffene Software als ein Treiber von innovativen Lösungen und Effizienz von Entwicklungen gilt, sollte nicht auf sie verzichtet werden. Sinnvoller wäre es jedoch, das Risikobewusstsein zu schärfen, um Probleme bei Open-Source-Komponenten rechtzeitig zu identifizieren und Gefahren zu reduzieren. Daher sollten eingesetzte Open-Source-Komponenten gleich von Anfang an definierten Sicherheitsroutinen und -standards unterliegen.

Denn klar festgelegte Regeln sind ein integraler Bestandteil einer Security-Strategie von Open-Source-Lösungen. Auf diese Weise wird verhindert, dass Entwickler beliebige Open-Source-Komponenten benutzen. Dafür müssen Organisationen ein Regelwerk erstellen, das klar formuliert, welche Open-Source-Komponenten und -Tools zum Einsatz kommen sollen.

Checkliste für sichere Open-Source-Lösungen

Mit einer profunden Security-Strategie und den richtigen Maßnahmen sind Open-Source-Komponenten im Grunde genauso sicher wie andere Software-Lösungen. Sicherheitsstrategien für einen zuverlässigen Einsatz von Open-Source-Komponenten können sich unter anderem an folgenden Punkten orientieren:

Policies aufstellen

In dieser ersten Phase einer Open-Source-Strategie muss entschieden werden, welche Software überhaupt verwendet werden darf. Damit wird vermieden, dass Entwickler Software einfach nach Belieben einsetzen. Das heißt, eine allgemeine Policy reduziert damit unkalkulierbare Risiken.

Reaktionszeit optimieren

Für Security-Strategien ist es nicht nur wichtig, dass überhaupt regelmäßig Patches entwickelt werden, sondern welche Zeitspanne zwischen der Kenntnisnahme einer Sicherheitslücke und der Anwendung der neuen Patches vergeht. Dies entspricht genau der Zeit, die Hacker nutzen, um ihre Angriffe zu starten. Aus diesem Grunde muss diese Zeitspanne möglichst kurz gehalten werden, um die Patches schnell zu installieren. Ein zentrales Patch-Management hilft dabei, den Überblick zu allen notwendigen Aktivitäten stets zu wahren.

Repositories kontrollieren

Die offenen Zugänge zu Open-Source-Bibliotheken in nativen Umgebungen sollten unter Sicherheitsaspekten limitiert werden. Hierfür eignen sich beispielsweise Cache-Speicher mit Software-Komponenten, die nach eigehender Prüfung eine Freigabe erhalten haben. Eine andere Möglichkeit böte eine Firewall, die den Zugriff auf bestimmte Ressourcen gänzlich verhindert.

Lieferkette überprüfen

Für die Entwicklung werden oftmals diverse Softwarepakete verschiedener Hersteller genutzt. Auf diese Weise könnten sich ebenso neben den bekannten Problemen auch weitere Sicherheitslücken ins Unternehmen einschleichen, wovon nicht einmal Softwareexperten etwas wissen. Abhilfe schafft man mit Sicherheitstests und Tools für die statische Code-Analyse sowie Werkzeugen für Software Composition Analysis (SCA). Die Sicherheitsexperten erhalten so einen umfassenden Einblick in bestehende Risikopotenziale.

Security first!

Security-Experten empfehlen, aktuell gut funktionierende Sicherheitsstandards nicht auf diesem Stand zu belassen. Ein solches Denken ist brandgefährlich! Stillstand bedeutet in einer globalisierten Welt, in der auch das digitale Verbrechen niemals schläft, immer Rückschritt. Dadurch wird man sofort angreifbar! Aus diesem Grunde dürfen sich Unternehmen nie mit dem erreichten Ziel zufrieden geben, sondern müssen kontinuierlich Risikoanalysen durchführen und Notfallpläne bereithalten.

IT-Security und Entwickler müssen kooperieren

Damit die Abteilung IT-Security Risiken, die von Software ausgehen kann, richtig bewertet, muss sie die Instrumente und Werkzeuge der Entwickler kennen und auf diese zugreifen können. Darüber hinaus muss die IT-Security den Entwicklern ihre Policies klar kommunizieren. Grundsätzlich ist eine sachliche und stressfreie Kommunikation zwischen beiden Abteilungen für ein funktionierendes Sicherheitskonzept unabdingbar. Beide Abteilungen können beispielsweise gemeinsam an Trainings teilnehmen, um so sicherzustellen, dass sich alle Beteiligten im Hinblick der Sicherheitsrisiken und -lücken auf dem gleichen Stand befinden.

(ID:46696678)

Über den Autor