Open Source Security: Sicherheitsrisiken aktiv entgegenwirken

Bitkom zufolge verwenden heutzutage mehr als drei Viertel der Unternehmen Open Source Software (OSS) – Tendenz steigend. [...]

Foto: MarkusWinkler/Pixabay

Die hohe Verbreitung von OSS hat vor allem damit zu tun, dass sie unkompliziert verfügbar ist und Unternehmen dabei hilft, die Perfomance ihrer IT-Anwendungen zu steigern. Neben den praktischen Aspekten birgt sie jedoch auch ganz spezifische Sicherheitsrisiken. Welche das sind und wie Unternehmen proaktiv Maßnahmen ergreifen können, um sich davor zu schützen, erläutert Joey Stanford, VP of Privacy & Security bei platform.sh.

Open Source Software hat sich seit ihrer Einführung in den 1990er Jahren weit verbreitet. Leider ist sie nicht nur bei Entwicklern sehr beliebt. 

Können Sie erklären, warum OSS zunehmend von Cyberkriminellen ins Visier genommen wird?

Joey Stanford: Open-Source-Software hat aufgrund ihrer kooperativen Natur und ihrer Zugänglichkeit enorm an Popularität gewonnen. Diese Offenheit macht sie jedoch gleichzeitig anfällig für Missbrauch. Da immer mehr Organisationen auf OSS angewiesen sind, haben sich Cyberkriminelle darauf spezialisiert, in Repositories einzudringen oder Sicherheitslücken in OSS auszunutzen.

Laut einer Studie von VMware ist eine erhebliche Herausforderung bei OSS, dass die Behebung von Sicherheitslücken stark von der Beteiligung der Community abhängt. Da die Reaktionsfähigkeit der Community variiert, werden Sicherheitslücken möglicherweise nicht so schnell behoben, wie es bei einem kommerziellen Anbieter der Fall wäre. Für Angreifer sind OSS-Sicherheitslücken wie eine Speisekarte, aus der sie ihre neuen Ziele sorgfältig auswählen können.

Haben Sie Beispiele für weitere Sicherheitsrisiken?

Joey Stanford: Ein weiteres Risiko liegt in der mangelnden Transparenz darüber, welche OSS überhaupt verwendet wird. Das Fehlen einer umfassenden Übersicht bedeutet meist, dass IT- und Sicherheitsteams nur schwer mit den neuesten Sicherheitsaktualisierungen Schritt halten und die erforderlichen Upgrades durchführen können. Dies wiederum kann dazu führen, dass Organisationen gefährdet sind, ohne es zu realisieren. Diese mangelnde Transparenz ist äußerst bedenklich, da sie es Angreifern ermöglichen kann, auf eigentlich als sicher geltende Systeme zuzugreifen. 

Ein bekanntes Beispiel für einen Angriff auf Open Source Software ist der SolarWinds-Hack, bei dem Hacker bösartigen Code in ein legitimes Update der Netzwerkmanagement-Software SolarWinds Orion eingefügt haben. Dadurch erhielten sie Zugriff auf die Netzwerke von rund 18.000 Kunden, darunter Regierungsbehörden und private Unternehmen. 

Dieser Vorfall unterstreicht die Verwundbarkeit von OSS und verdeutlicht, wie geschickt Angreifer solche Schwachstellen ausnutzen können, um Zugang zu sensiblen Systemen zu erlangen.

Ein weiterer bekannter Vorfall im Zusammenhang mit OSS ist Log4shell, der als eine der prominentesten Sicherheitslücken der letzten Jahre betrachtet wird. Die weitreichenden Auswirkungen dieses Vorfalls führten dazu, dass das Nationale Cyber-Sicherheitszentrum von Großbritannien eine offizielle Warnung herausgab und viele Organisationen ankündigten, ihre Abhängigkeit von OSS zu reduzieren. 

Diese sind nur die prominentesten Beispiele für Angriffe auf OSS in den letzten Jahren. Angesichts des zunehmenden Einsatzes von Open Source Software ist es wichtig, dass Organisationen sich der Risiken von OSS-Angriffen bewusst sind und Maßnahmen ergreifen, um diese zu minimieren. 

Worin liegt Ihrer Meinung nach die größte Bedrohung?

Joey Stanford: Von zentraler Bedeutung sollte für jede Organisation, die OSS einsetzt, die Sicherheit der „Lösungs-Lieferkette“ sein. Das gilt natürlich umso mehr für Organisationen in Sektoren, die als kritische Infrastruktur gelten.

Dazu gehören das Gesundheitswesen, der Energiesektor, das Transportwesen, das Bildungswesen und die Regierung. Sie sollten besonders darauf achten, proaktiv Maßnahmen zu ergreifen, um ihre Software-Lieferketten zu sichern und Angriffen vorzubeugen.

Ein Hauptziel für Hacker ist der Finanzsektor. Können Sie das näher erläutern?

Joey Stanford: Der Finanzsektor ist zu einem begehrten Ziel für Angreifer geworden. Laut einem Bericht von Checkmarx gab es die ersten bekannten Angriffe auf die Software-Lieferketten bestimmter Banken.

Dabei wurden bösartige Pakete in das Node Package Manager (NPM)-Verzeichnis hochgeladen, einem beliebten Repository für JavaScript-Code. Entwickler in diesen Banken wurden verleitet, diese Pakete in ihren Anwendungen zu verwenden. Das ermöglichte es den Kriminellen, Anmeldeinformationen zu stehlen oder schädliche Aktionen in den Bankensystemen auszuführen.

Diese Branchen sind nicht die einzigen, die gefährdet sind. Sie gehören aber zu denjenigen, die am stärksten betroffen sind. Daher sollten sie besonders wachsam sein das Problem proaktiv angehen.

Das klingt besorgniserregend. Doch welche Schritte können Organisationen unternehmen, um sich vor diesen potenziellen Schwachstellen zu schützen? Gibt es spezielle Maßnahmen, die sie ergreifen sollten?

Joey Stanford: Absolut. Organisationen sollten Open-Source-Software nicht gänzlich abschreiben. Es ist allerdings ratsam, proaktive Sicherheitsmaßnahmen zu ergreifen, um sich effektiver zu schützen. Ganz konkrete Schritte, die sie unternehmen können, sind:

  • Schulung der Mitarbeiter
    • Zunächst einmal sollten Mitarbeiter in der sicheren Verwendung und Bereitstellung von Codes geschult werden.
  • Überprüfung der Quelle
    • Verwenden Sie vertrauenswürdige Quellen und Repositorys zum Herunterladen oder Aktualisieren von Open-Source-Software. Nicht alle Repositorys sind vertrauenswürdig, und es ist bekannt, dass bösartige Akteure gefälschten Code erstellen, der Authentizität vortäuscht. Überprüfen Sie die Herkunft des Repositorys, die Anzahl der Mitwirkenden, die Aktivität in den Diskussionen und andere Faktoren, um sicherzustellen, dass es sich um den echten Code handelt.
  • Cyber-Hygiene
    • Obwohl Patches zweifellos entscheidend sind, stellen sie lediglich das absolute Minimum dar. Um sicher zu bleiben, sollten Organisationen eine proaktive Haltung einnehmen, indem sie regelmäßig Open-Source-Softwarekomponenten und Abhängigkeiten auf bekannte Schwachstellen oder bösartigen Code überprüfen. Diese Bemühungen sollten durch die Pflege eines aktuellen Software-Bestandsverzeichnisses (SBOM) unterstützt werden, um Komponenten zu identifizieren, die gepatcht oder aktualisiert werden müssen.
  • Verwendung von Open-Source-Sicherheitslösungen
    • Die beste Verteidigung für OSS ist ein Schutz, der speziell für OSS entwickelt wurde. Unternehmen können Sicherheitswerkzeuge wie Synk, Veracode oder GitHub’s Dependabot verwenden, um ihre Abhängigkeiten zu bewerten.

Abschließend lässt sich festhalten, dass Open Source Software eine wertvolle Ressource ist, mit einem starken Ethos des Teilens und der Zusammenarbeit. Sogar große Unternehmen unterstützen Open Source. Obwohl wir seit den frühen Tagen erhebliche Fortschritte gemacht haben, wird es immer Individuen geben, die versuchen, dieses Ethos zu untergraben und die Unwissenden auszunutzen.

Die gute Nachricht ist jedoch, dass Unternehmen nicht gezwungen sind, Open Source Software aufzugeben, um sicher zu bleiben. Stattdessen sollten Sie achtsam sein und bewährte Verfahren anwenden, um ihre Sicherheit zu gewährleisten.

Vielen Dank!

powered by www.it-daily.net


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*