Wie groß ist die Bedrohung der IT-Sicherheit durch Open-Source-Malware?

Wie groß ist die Bedrohung der IT-Sicherheit durch Open Source Malware wirklich? Diese Frage haben wir Mikaël Barbero, Head of Security bei der Eclipse Foundation, gestellt. [...]

Mikaël Barbero, Head of Security bei der Eclipse Foundation: "Jüngste Vorfälle wie die Linux SSH Schwachstelle und der xz utils Angriff konnten beide erfolgreich abgewehrt werden, weil die Community schnell reagiert und ihre Schutzmaßnahmen umgesetzt hat. Die Zusammenarbeit der Community ist unsere beste Verteidigung gegen solche Angriffe." (c) Eclipse Foundation

Anfang April hat der deutsche Microsoft-Ingenieur Andres Freund einen Hackerangriff auf die Linux Software vereitelt. Im Anschluss berichteten viele Medien über die weltweite Beinahe-Katastrophe, die Freund durch sein aufmerksames Handeln in allerletzter Minute verhindern konnte. Dabei wurde die Sicherheit von Open-Source-Software (OSS) in Frage gestellt.

Umso wichtiger ist es nun, eine fundierte Einordnung vorzunehmen: Wie groß ist die Bedrohung der IT-Sicherheit durch Open-Source-Malware wirklich? Diese Frage haben wir Mikaël Barbero, Head of Security bei der Eclipse Foundation, gestellt. Die Eclipse Foundation bietet einer globalen Gemeinschaft von Einzelpersonen und Organisationen eine Umgebung für die Zusammenarbeit und Innovation im Bereich Open-Source-Software. Die Foundation beherbergt die Eclipse IDE, Jakarta EE und über 400 Open-Source-Projekte, darunter Tools und Frameworks für Cloud- und Edge-Anwendungen, IoT, KI, Automotive, Systems Engineering, Distributed-Ledger-Technologien, offene Prozessordesigns und viele andere. Die Eclipse Foundation ist eine internationale Non-Profit-Organisation, die von mehr als 330 Mitgliedern unterstützt wird.

Open-Source-Software wird immer mehr zum Hauptziel von Angriffen

Mikaël Barbero: „Zunächst einmal stellt Malware gleichermaßen eine Bedrohung für kommerzielle als auch für Open-Source-Software dar. Wie jedoch jeder Cybersicherheitsexperte bestätigen wird, zielen Cyberkriminelle häufig auf Schwachstellen ab, die eine möglichst große Angriffsfläche bieten. Wenn man bedenkt, dass bis zu 90 Prozent aller Software-Infrastrukturen auf Open-Source-Software basieren, wird klar, dass OSS immer mehr zum Hauptziel von Angriffen wird.

Angesichts dieser Tatsachen ist es offensichtlich, dass die Bedrohungen für die Softwaresicherheit nicht nur real sind, sondern auch anhalten. Die beruhigende Nachricht ist Barbero zufolge jedoch, dass sich die derzeitigen Sicherheitspraktiken als wirksam erweisen: „Jüngste Vorfälle wie die Linux SSH Schwachstelle und der xz utils Angriff konnten beide erfolgreich abgewehrt werden, weil die Community schnell reagiert und ihre Schutzmaßnahmen umgesetzt hat. Die Zusammenarbeit der Community ist unsere beste Verteidigung gegen solche Angriffe. Um unsere Abwehrmaßnahmen zu verstärken, übernehmen wir das SLSA-Framework für die von uns betreuten Projekte der Eclipse Foundation. Darüber hinaus entwickeln wir unsere eigenen Sicherheitsrichtlinien, um sicherzustellen, dass bei der Entwicklung dieser Projekte die besten Software-Sicherheitspraktiken im Mittelpunkt stehen.“

Ebenso wichtig ist laut Barbero das Engagement, Eclipse-Mitglieder bei der Anpassung ihrer Projekte an neue Regulierungen wie den Cybersecurity Resilience Act zu unterstützen: „Als Teil unseres proaktiven Ansatzes haben wir kürzlich die Open Regulatory Compliance Initiative ins Leben gerufen, an der weitere führende Stiftungen wie die Apache Software Foundation, OpenSSF Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation und Rust Foundation beteiligt sind. Gemeinsam wollen wir auf Best Practices basierende Prozessspezifikationen entwickeln, um die Einhaltung dieser sich entwickelnden Regulierungen zu erleichtern. Damit werden Organisationen, die Open Source einsetzen, in die Lage versetzt, diese Regularien effizienter umzusetzen.“


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*