Thought Leadership
Der Vorfall um die Open-Source-Kompressionsbibliothek xz, die über Ostern große Teile des Internets zu beeinträchtigten drohte, wirft Fragen zur sicheren Nutzung von Open-Source-Software auf.
Was bringt in diesem Zusammenhang der neue Cyber Resilience Act, der Hersteller von Produkten mit digitalen Elementen zu mehr Cybersicherheit über den gesamten Produktlebenszyklus verpflichtet? Alexander Bluhm und Steffen Ullrich, genua, erklären im Gespräch mit it management, wie die Open-Source-Welt funktioniert und wie Produkte trotz möglicher Fehler sicher genutzt werden können.
Wie kann es sein, dass auch in moderner Software immer wieder Fehler auftauchen, die Anwender massiv in die Bredouille bringen können?
Alexander Bluhm: Bei digitalen oder smarten Gütern ist Software das bestimmende Element. Sie ist heutzutage meistens nicht mehr aus einer Hand. Vielmehr handelt es sich oft um eine Komposition aus Hunderten oder Tausenden von Modulen, die teilweise oder sogar größtenteils aus öffentlichen Open-Source-Bibliotheken stammen. Das ist durchaus sinnvoll. Funktionen wiederholen sich – und warum sollte man das Rad jedes Mal neu erfinden? Im Laufe mehrerer Jahrzehnte haben sich Open-Source-Bibliotheken gut gefüllt – es gibt kaum eine Funktion, die man dort nicht findet. Gerade KMU mit knappen Budgets sind bei ihrer Softwareentwicklung stark auf die Verfügbarkeit freier Open-Source-Module angewiesen.
Das ist nachvollziehbar. Und wo genau entsteht das Problem?
Alexander Bluhm: Die Herausforderung liegt darin, die Qualität der Open-Source- Module, die eventuell in eigenen Software- Projekten zum Einsatz kommen sollen, richtig zu beurteilen. Die Open-Source-Community ist keine homogene Gruppe. Oft sind es stark engagierte Menschen, die Projekte ohne finanzielles Kalkül in ihrer Freizeit vorantreiben. Viele sind echte Profis, andere starten vielleicht gerade ihre ersten Programmierversuche. Daneben gibt es auch langjährige Projekte, die von großen Firmen unterstützt werden und bei dem die Entwickler in feste Arbeitsverhältnisse übernommen wurden. Entsprechend unterschiedlich sind die Qualitätsstandards. Es ist Aufgabe desjenigen, der die Software einsetzt oder weiter vertreibt, den Unterschied zu erkennen.
Gibt es bei Open Source keine Standardprozesse um die Software zu überprüfen?
Alexander Bluhm: Nein, die Verantwortung für die Sicherheit der Open-Source-Module und deren korrekter Integration liegt bei dem Unternehmen, das sie für seine kommerzielle Software nutzt. Auf welche Weise diese Verantwortung wahrgenommen wird, hängt unter anderem von der Kompetenz der verfügbaren Fachkräfte und der bereitgestellten Zeit zur Prüfung ab, aber auch von der Bedeutung der eingesetzten Open-Source-Komponente für das Produkt.
Die Herausforderung liegt darin, die Qualität der Open-Source-Module, die eventuell in eigenen Software-Projekten zum Einsatz kommen sollen, richtig zu beurteilen.
Alexander Bluhm, genua GmbH
Kürzlich sorgte eine Backdoor in der Open-Source-Bibliothek xz für Aufsehen, weil sie das gesamte Internet hätte beeinträchtigen können. Wie sehen Sie das?
Alexander Bluhm: Der Fall war extrem kritisch und hätte drastische Auswirkungen auf die Zuverlässigkeit des Internets haben können. Er zeigt die Schwachstellen eines vermeintlich unkritischen Einsatzes von Fremdsoftware und wie kleine Projekte große Auswirkungen haben können. Die xz ist auf vielen weltweit genutzten Linux-Systemen eng mit dem SSH-Zugang verbunden, wodurch ein kleiner Fehler immense Bedeutung erlangt. Über SSH werden Server administriert, einschließlich der in medizinischen und anderen smarten Geräten. Eine SSH-Hintertür, die beliebige Befehle ausführt, hätte verheerende Folgen.
Wie konnte das passieren?
Steffen Ullrich: Das kleine Open-Source-Projekt xz wurde jahrelang von einem einzelnen Freiwilligen betreut. Als er über Burn-out klagte, bot ein Unbekannter, der sich Jia Tan nennt, seine Hilfe an und erschlich sich sein Vertrauen. Dies wurde gefördert durch Mails „ungeduldiger“ Nutzer, was eventuell eine koordinierte Aktion mit weiteren Cyberkriminellen war. Schließlich wurde Jia Tan Co-Betreuer mit dem Recht, eigenen Code einzubringen. Dieses Recht missbrauchte er für den Einbau einer nahezu unsichtbaren Hintertür. Nur durch Zufall ist diese Backdoor bei der Analyse eines Performanceproblems aufgefallen.
Was tun Software-Hersteller und Gesetzgeber, um die Qualitätsstandards bei Software zu verbessern? Kann der kürzlich beschlossene Cyber Resilience Act (CRA) hier Positives bewirken?
Steffen Ullrich: Der Cyber Resilience Act (CRA) strebt eine umfassende Verbesserung der Software-Lieferkette an. Er gilt für alle digitalen Produkte, einschließlich Software, Hardware und Cloud-Lösungen, und führt „Security by Design“ in das europäische Recht ein. Risiken und Cybersicherheitsmaßnahmen müssen jetzt kontinuierlich über den gesamten Produktlebenszyklus bewertet werden. Hersteller müssen sichere Entwicklungsprozesse etablieren, Cybersicherheitsrisiken dokumentieren und Schwachstellen aktiv melden und beheben. Der CRA betrifft die gesamte Wertschöpfungskette, von Herstellern über Distributoren bis hin zu Importeuren.
Inwieweit betreffen diese Vorgaben Open Source?
Steffen Ullrich: Für Open Source gibt es Ausnahmen, um das Open-Source-Ökosystem nicht zu belasten und Freiwillige vor untragbaren Haftungsrisiken zu schützen. Diese Ausnahmen gelten aber nur für Entwickler sowie für als „Open-Source Software Stewards“ agierende Organisationen, nicht für Unternehmen, die Open-Source-Komponenten nutzen. Der CRA ergänzt im Rahmen der EU-Cybersicherheitsstrategie 2020 zum Beispiel NIS-2 und stärkt die Sicherheit in der Software-Lieferkette.
Durch bewusste Einschränkung auf nützliche Funktionen lässt sich die Komplexität einer Software reduzieren – und damit die Anzahl von Sicherheitslücken.
Steffen Ullrich, genua GmbH
Wie können Endkunden die Sorgfalt von Unternehmen beurteilen, um beim Kauf kein Cybersicherheitsrisiko einzugehen?
Steffen Ullrich: Wer mit einem Produkt Geld verdient, muss auch für dessen Sicherheit sorgen. Der CRA greift folgende zwei Probleme auf: Erstens das unzureichende Maß an Cybersicherheit vieler Produkte, zweitens die Unfähigkeit von Verbrauchern und Unternehmen zur richtigen Beurteilung der Produkte oder zu deren sicheren Betrieb. Unternehmen müssen mehr Mittel für Tests und Sicherheitsprozesse aufbringen. Anhand von sichtbaren Kriterien sollen Kunden prüfen können, dass der Hersteller die von ihnen benötigten Sicherheitsstandards einhält.
Können Sie das ein wenig ausführen?
Steffen Ullrich: Unternehmen können viel für die Sicherheit tun, etwa durch den Aufbau einer umfassenden Sicherheitskultur. Beispiele wie Microsoft oder Cisco zeigen, dass dies Zeit braucht. In Deutschland ist die Zusammenarbeit von Herstellern mit dem Bundesamt für Sicherheit in der Informationstechnik samt entsprechender Zertifikate und Zulassungen ein guter Indikator für hohe Ansprüche an die Cybersicherheit ihrer Produkte und die Qualität der Entwicklungsprozesse. Für Unternehmen mit hochwertig zertifizierten Produkten ist „Security by Design“ längst gelebte Praxis.
Ein weiterer Punkt ist die bewusste Einschränkung auf nützliche Funktionen, um die Komplexität und damit Sicherheitslücken zu reduzieren. Fremdsoftware sollte restriktiv, etwa in einer Sandbox, eingebunden werden. Wichtige Sicherheitsstrategien sind Defense-in-Depth, Separation und Segmentierung.
Würden Sie, trotz der Bedenken bezüglich der Sicherheit und Zuverlässigkeit, den Einsatz von Open Source-Software auch weiterhin empfehlen?
Alexander Bluhm: Auf jeden Fall! Man darf nicht vergessen: Kommerzielle Software hat zwar andere Probleme, aber die gleichen Risiken! Ich verwende ausschließlich Open-Source, nicht einsehbare Software ist mir suspekt und nicht nachvollziehbar.
Herr Bluhm, Herr Ullrich, vielen Dank für das Gespräch!
