Wie groß ist die Bedrohung der IT-Sicherheit durch Open-Source-Malware?

Wie groß ist die Bedrohung der IT-Sicherheit durch Open Source Malware wirklich? Diese Frage haben wir Mikaël Barbero, Head of Security bei der Eclipse Foundation, gestellt. [...]

Mikaël Barbero, Head of Security bei der Eclipse Foundation: "Jüngste Vorfälle wie die Linux SSH Schwachstelle und der xz utils Angriff konnten beide erfolgreich abgewehrt werden, weil die Community schnell reagiert und ihre Schutzmaßnahmen umgesetzt hat. Die Zusammenarbeit der Community ist unsere beste Verteidigung gegen solche Angriffe." (c) Eclipse Foundation

Anfang April hat der deutsche Microsoft-Ingenieur Andres Freund einen Hackerangriff auf die Linux Software vereitelt. Im Anschluss berichteten viele Medien über die weltweite Beinahe-Katastrophe, die Freund durch sein aufmerksames Handeln in allerletzter Minute verhindern konnte. Dabei wurde die Sicherheit von Open-Source-Software (OSS) in Frage gestellt.

Umso wichtiger ist es nun, eine fundierte Einordnung vorzunehmen: Wie groß ist die Bedrohung der IT-Sicherheit durch Open-Source-Malware wirklich? Diese Frage haben wir Mikaël Barbero, Head of Security bei der Eclipse Foundation, gestellt. Die Eclipse Foundation bietet einer globalen Gemeinschaft von Einzelpersonen und Organisationen eine Umgebung für die Zusammenarbeit und Innovation im Bereich Open-Source-Software. Die Foundation beherbergt die Eclipse IDE, Jakarta EE und über 400 Open-Source-Projekte, darunter Tools und Frameworks für Cloud- und Edge-Anwendungen, IoT, KI, Automotive, Systems Engineering, Distributed-Ledger-Technologien, offene Prozessordesigns und viele andere. Die Eclipse Foundation ist eine internationale Non-Profit-Organisation, die von mehr als 330 Mitgliedern unterstützt wird.

Open-Source-Software wird immer mehr zum Hauptziel von Angriffen

Mikaël Barbero: „Zunächst einmal stellt Malware gleichermaßen eine Bedrohung für kommerzielle als auch für Open-Source-Software dar. Wie jedoch jeder Cybersicherheitsexperte bestätigen wird, zielen Cyberkriminelle häufig auf Schwachstellen ab, die eine möglichst große Angriffsfläche bieten. Wenn man bedenkt, dass bis zu 90 Prozent aller Software-Infrastrukturen auf Open-Source-Software basieren, wird klar, dass OSS immer mehr zum Hauptziel von Angriffen wird.

Angesichts dieser Tatsachen ist es offensichtlich, dass die Bedrohungen für die Softwaresicherheit nicht nur real sind, sondern auch anhalten. Die beruhigende Nachricht ist Barbero zufolge jedoch, dass sich die derzeitigen Sicherheitspraktiken als wirksam erweisen: „Jüngste Vorfälle wie die Linux SSH Schwachstelle und der xz utils Angriff konnten beide erfolgreich abgewehrt werden, weil die Community schnell reagiert und ihre Schutzmaßnahmen umgesetzt hat. Die Zusammenarbeit der Community ist unsere beste Verteidigung gegen solche Angriffe. Um unsere Abwehrmaßnahmen zu verstärken, übernehmen wir das SLSA-Framework für die von uns betreuten Projekte der Eclipse Foundation. Darüber hinaus entwickeln wir unsere eigenen Sicherheitsrichtlinien, um sicherzustellen, dass bei der Entwicklung dieser Projekte die besten Software-Sicherheitspraktiken im Mittelpunkt stehen.“

Ebenso wichtig ist laut Barbero das Engagement, Eclipse-Mitglieder bei der Anpassung ihrer Projekte an neue Regulierungen wie den Cybersecurity Resilience Act zu unterstützen: „Als Teil unseres proaktiven Ansatzes haben wir kürzlich die Open Regulatory Compliance Initiative ins Leben gerufen, an der weitere führende Stiftungen wie die Apache Software Foundation, OpenSSF Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation und Rust Foundation beteiligt sind. Gemeinsam wollen wir auf Best Practices basierende Prozessspezifikationen entwickeln, um die Einhaltung dieser sich entwickelnden Regulierungen zu erleichtern. Damit werden Organisationen, die Open Source einsetzen, in die Lage versetzt, diese Regularien effizienter umzusetzen.“


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*