Bitkom zufolge verwenden heutzutage mehr als drei Viertel der Unternehmen Open Source Software (OSS) – Tendenz steigend. [...]
Die hohe Verbreitung von OSS hat vor allem damit zu tun, dass sie unkompliziert verfügbar ist und Unternehmen dabei hilft, die Perfomance ihrer IT-Anwendungen zu steigern. Neben den praktischen Aspekten birgt sie jedoch auch ganz spezifische Sicherheitsrisiken. Welche das sind und wie Unternehmen proaktiv Maßnahmen ergreifen können, um sich davor zu schützen, erläutert Joey Stanford, VP of Privacy & Security bei platform.sh.
Open Source Software hat sich seit ihrer Einführung in den 1990er Jahren weit verbreitet. Leider ist sie nicht nur bei Entwicklern sehr beliebt.
Können Sie erklären, warum OSS zunehmend von Cyberkriminellen ins Visier genommen wird?
Joey Stanford: Open-Source-Software hat aufgrund ihrer kooperativen Natur und ihrer Zugänglichkeit enorm an Popularität gewonnen. Diese Offenheit macht sie jedoch gleichzeitig anfällig für Missbrauch. Da immer mehr Organisationen auf OSS angewiesen sind, haben sich Cyberkriminelle darauf spezialisiert, in Repositories einzudringen oder Sicherheitslücken in OSS auszunutzen.
Laut einer Studie von VMware ist eine erhebliche Herausforderung bei OSS, dass die Behebung von Sicherheitslücken stark von der Beteiligung der Community abhängt. Da die Reaktionsfähigkeit der Community variiert, werden Sicherheitslücken möglicherweise nicht so schnell behoben, wie es bei einem kommerziellen Anbieter der Fall wäre. Für Angreifer sind OSS-Sicherheitslücken wie eine Speisekarte, aus der sie ihre neuen Ziele sorgfältig auswählen können.
Haben Sie Beispiele für weitere Sicherheitsrisiken?
Joey Stanford: Ein weiteres Risiko liegt in der mangelnden Transparenz darüber, welche OSS überhaupt verwendet wird. Das Fehlen einer umfassenden Übersicht bedeutet meist, dass IT- und Sicherheitsteams nur schwer mit den neuesten Sicherheitsaktualisierungen Schritt halten und die erforderlichen Upgrades durchführen können. Dies wiederum kann dazu führen, dass Organisationen gefährdet sind, ohne es zu realisieren. Diese mangelnde Transparenz ist äußerst bedenklich, da sie es Angreifern ermöglichen kann, auf eigentlich als sicher geltende Systeme zuzugreifen.
Ein bekanntes Beispiel für einen Angriff auf Open Source Software ist der SolarWinds-Hack, bei dem Hacker bösartigen Code in ein legitimes Update der Netzwerkmanagement-Software SolarWinds Orion eingefügt haben. Dadurch erhielten sie Zugriff auf die Netzwerke von rund 18.000 Kunden, darunter Regierungsbehörden und private Unternehmen.
Dieser Vorfall unterstreicht die Verwundbarkeit von OSS und verdeutlicht, wie geschickt Angreifer solche Schwachstellen ausnutzen können, um Zugang zu sensiblen Systemen zu erlangen.
Ein weiterer bekannter Vorfall im Zusammenhang mit OSS ist Log4shell, der als eine der prominentesten Sicherheitslücken der letzten Jahre betrachtet wird. Die weitreichenden Auswirkungen dieses Vorfalls führten dazu, dass das Nationale Cyber-Sicherheitszentrum von Großbritannien eine offizielle Warnung herausgab und viele Organisationen ankündigten, ihre Abhängigkeit von OSS zu reduzieren.
Diese sind nur die prominentesten Beispiele für Angriffe auf OSS in den letzten Jahren. Angesichts des zunehmenden Einsatzes von Open Source Software ist es wichtig, dass Organisationen sich der Risiken von OSS-Angriffen bewusst sind und Maßnahmen ergreifen, um diese zu minimieren.
Worin liegt Ihrer Meinung nach die größte Bedrohung?
Joey Stanford: Von zentraler Bedeutung sollte für jede Organisation, die OSS einsetzt, die Sicherheit der „Lösungs-Lieferkette“ sein. Das gilt natürlich umso mehr für Organisationen in Sektoren, die als kritische Infrastruktur gelten.
Dazu gehören das Gesundheitswesen, der Energiesektor, das Transportwesen, das Bildungswesen und die Regierung. Sie sollten besonders darauf achten, proaktiv Maßnahmen zu ergreifen, um ihre Software-Lieferketten zu sichern und Angriffen vorzubeugen.
Ein Hauptziel für Hacker ist der Finanzsektor. Können Sie das näher erläutern?
Joey Stanford: Der Finanzsektor ist zu einem begehrten Ziel für Angreifer geworden. Laut einem Bericht von Checkmarx gab es die ersten bekannten Angriffe auf die Software-Lieferketten bestimmter Banken.
Dabei wurden bösartige Pakete in das Node Package Manager (NPM)-Verzeichnis hochgeladen, einem beliebten Repository für JavaScript-Code. Entwickler in diesen Banken wurden verleitet, diese Pakete in ihren Anwendungen zu verwenden. Das ermöglichte es den Kriminellen, Anmeldeinformationen zu stehlen oder schädliche Aktionen in den Bankensystemen auszuführen.
Diese Branchen sind nicht die einzigen, die gefährdet sind. Sie gehören aber zu denjenigen, die am stärksten betroffen sind. Daher sollten sie besonders wachsam sein das Problem proaktiv angehen.
Das klingt besorgniserregend. Doch welche Schritte können Organisationen unternehmen, um sich vor diesen potenziellen Schwachstellen zu schützen? Gibt es spezielle Maßnahmen, die sie ergreifen sollten?
Joey Stanford: Absolut. Organisationen sollten Open-Source-Software nicht gänzlich abschreiben. Es ist allerdings ratsam, proaktive Sicherheitsmaßnahmen zu ergreifen, um sich effektiver zu schützen. Ganz konkrete Schritte, die sie unternehmen können, sind:
- Schulung der Mitarbeiter
- Zunächst einmal sollten Mitarbeiter in der sicheren Verwendung und Bereitstellung von Codes geschult werden.
- Überprüfung der Quelle
- Verwenden Sie vertrauenswürdige Quellen und Repositorys zum Herunterladen oder Aktualisieren von Open-Source-Software. Nicht alle Repositorys sind vertrauenswürdig, und es ist bekannt, dass bösartige Akteure gefälschten Code erstellen, der Authentizität vortäuscht. Überprüfen Sie die Herkunft des Repositorys, die Anzahl der Mitwirkenden, die Aktivität in den Diskussionen und andere Faktoren, um sicherzustellen, dass es sich um den echten Code handelt.
- Cyber-Hygiene
- Obwohl Patches zweifellos entscheidend sind, stellen sie lediglich das absolute Minimum dar. Um sicher zu bleiben, sollten Organisationen eine proaktive Haltung einnehmen, indem sie regelmäßig Open-Source-Softwarekomponenten und Abhängigkeiten auf bekannte Schwachstellen oder bösartigen Code überprüfen. Diese Bemühungen sollten durch die Pflege eines aktuellen Software-Bestandsverzeichnisses (SBOM) unterstützt werden, um Komponenten zu identifizieren, die gepatcht oder aktualisiert werden müssen.
- Verwendung von Open-Source-Sicherheitslösungen
- Die beste Verteidigung für OSS ist ein Schutz, der speziell für OSS entwickelt wurde. Unternehmen können Sicherheitswerkzeuge wie Synk, Veracode oder GitHub’s Dependabot verwenden, um ihre Abhängigkeiten zu bewerten.
Abschließend lässt sich festhalten, dass Open Source Software eine wertvolle Ressource ist, mit einem starken Ethos des Teilens und der Zusammenarbeit. Sogar große Unternehmen unterstützen Open Source. Obwohl wir seit den frühen Tagen erhebliche Fortschritte gemacht haben, wird es immer Individuen geben, die versuchen, dieses Ethos zu untergraben und die Unwissenden auszunutzen.
Die gute Nachricht ist jedoch, dass Unternehmen nicht gezwungen sind, Open Source Software aufzugeben, um sicher zu bleiben. Stattdessen sollten Sie achtsam sein und bewährte Verfahren anwenden, um ihre Sicherheit zu gewährleisten.
Vielen Dank!
Be the first to comment