Wie groß ist die Bedrohung der IT-Sicherheit durch Open Source Malware wirklich? Diese Frage haben wir Mikaël Barbero, Head of Security bei der Eclipse Foundation, gestellt. [...]
Anfang April hat der deutsche Microsoft-Ingenieur Andres Freund einen Hackerangriff auf die Linux Software vereitelt. Im Anschluss berichteten viele Medien über die weltweite Beinahe-Katastrophe, die Freund durch sein aufmerksames Handeln in allerletzter Minute verhindern konnte. Dabei wurde die Sicherheit von Open-Source-Software (OSS) in Frage gestellt.
Umso wichtiger ist es nun, eine fundierte Einordnung vorzunehmen: Wie groß ist die Bedrohung der IT-Sicherheit durch Open-Source-Malware wirklich? Diese Frage haben wir Mikaël Barbero, Head of Security bei der Eclipse Foundation, gestellt. Die Eclipse Foundation bietet einer globalen Gemeinschaft von Einzelpersonen und Organisationen eine Umgebung für die Zusammenarbeit und Innovation im Bereich Open-Source-Software. Die Foundation beherbergt die Eclipse IDE, Jakarta EE und über 400 Open-Source-Projekte, darunter Tools und Frameworks für Cloud- und Edge-Anwendungen, IoT, KI, Automotive, Systems Engineering, Distributed-Ledger-Technologien, offene Prozessordesigns und viele andere. Die Eclipse Foundation ist eine internationale Non-Profit-Organisation, die von mehr als 330 Mitgliedern unterstützt wird.
Open-Source-Software wird immer mehr zum Hauptziel von Angriffen
Mikaël Barbero: „Zunächst einmal stellt Malware gleichermaßen eine Bedrohung für kommerzielle als auch für Open-Source-Software dar. Wie jedoch jeder Cybersicherheitsexperte bestätigen wird, zielen Cyberkriminelle häufig auf Schwachstellen ab, die eine möglichst große Angriffsfläche bieten. Wenn man bedenkt, dass bis zu 90 Prozent aller Software-Infrastrukturen auf Open-Source-Software basieren, wird klar, dass OSS immer mehr zum Hauptziel von Angriffen wird.
Angesichts dieser Tatsachen ist es offensichtlich, dass die Bedrohungen für die Softwaresicherheit nicht nur real sind, sondern auch anhalten. Die beruhigende Nachricht ist Barbero zufolge jedoch, dass sich die derzeitigen Sicherheitspraktiken als wirksam erweisen: „Jüngste Vorfälle wie die Linux SSH Schwachstelle und der xz utils Angriff konnten beide erfolgreich abgewehrt werden, weil die Community schnell reagiert und ihre Schutzmaßnahmen umgesetzt hat. Die Zusammenarbeit der Community ist unsere beste Verteidigung gegen solche Angriffe. Um unsere Abwehrmaßnahmen zu verstärken, übernehmen wir das SLSA-Framework für die von uns betreuten Projekte der Eclipse Foundation. Darüber hinaus entwickeln wir unsere eigenen Sicherheitsrichtlinien, um sicherzustellen, dass bei der Entwicklung dieser Projekte die besten Software-Sicherheitspraktiken im Mittelpunkt stehen.“
Ebenso wichtig ist laut Barbero das Engagement, Eclipse-Mitglieder bei der Anpassung ihrer Projekte an neue Regulierungen wie den Cybersecurity Resilience Act zu unterstützen: „Als Teil unseres proaktiven Ansatzes haben wir kürzlich die Open Regulatory Compliance Initiative ins Leben gerufen, an der weitere führende Stiftungen wie die Apache Software Foundation, OpenSSF Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation und Rust Foundation beteiligt sind. Gemeinsam wollen wir auf Best Practices basierende Prozessspezifikationen entwickeln, um die Einhaltung dieser sich entwickelnden Regulierungen zu erleichtern. Damit werden Organisationen, die Open Source einsetzen, in die Lage versetzt, diese Regularien effizienter umzusetzen.“
Be the first to comment