Wie groß ist die Bedrohung der IT-Sicherheit durch Open-Source-Malware?

Wie groß ist die Bedrohung der IT-Sicherheit durch Open Source Malware wirklich? Diese Frage haben wir Mikaël Barbero, Head of Security bei der Eclipse Foundation, gestellt. [...]

Mikaël Barbero, Head of Security bei der Eclipse Foundation: "Jüngste Vorfälle wie die Linux SSH Schwachstelle und der xz utils Angriff konnten beide erfolgreich abgewehrt werden, weil die Community schnell reagiert und ihre Schutzmaßnahmen umgesetzt hat. Die Zusammenarbeit der Community ist unsere beste Verteidigung gegen solche Angriffe." (c) Eclipse Foundation

Anfang April hat der deutsche Microsoft-Ingenieur Andres Freund einen Hackerangriff auf die Linux Software vereitelt. Im Anschluss berichteten viele Medien über die weltweite Beinahe-Katastrophe, die Freund durch sein aufmerksames Handeln in allerletzter Minute verhindern konnte. Dabei wurde die Sicherheit von Open-Source-Software (OSS) in Frage gestellt.

Umso wichtiger ist es nun, eine fundierte Einordnung vorzunehmen: Wie groß ist die Bedrohung der IT-Sicherheit durch Open-Source-Malware wirklich? Diese Frage haben wir Mikaël Barbero, Head of Security bei der Eclipse Foundation, gestellt. Die Eclipse Foundation bietet einer globalen Gemeinschaft von Einzelpersonen und Organisationen eine Umgebung für die Zusammenarbeit und Innovation im Bereich Open-Source-Software. Die Foundation beherbergt die Eclipse IDE, Jakarta EE und über 400 Open-Source-Projekte, darunter Tools und Frameworks für Cloud- und Edge-Anwendungen, IoT, KI, Automotive, Systems Engineering, Distributed-Ledger-Technologien, offene Prozessordesigns und viele andere. Die Eclipse Foundation ist eine internationale Non-Profit-Organisation, die von mehr als 330 Mitgliedern unterstützt wird.

Open-Source-Software wird immer mehr zum Hauptziel von Angriffen

Mikaël Barbero: „Zunächst einmal stellt Malware gleichermaßen eine Bedrohung für kommerzielle als auch für Open-Source-Software dar. Wie jedoch jeder Cybersicherheitsexperte bestätigen wird, zielen Cyberkriminelle häufig auf Schwachstellen ab, die eine möglichst große Angriffsfläche bieten. Wenn man bedenkt, dass bis zu 90 Prozent aller Software-Infrastrukturen auf Open-Source-Software basieren, wird klar, dass OSS immer mehr zum Hauptziel von Angriffen wird.

Angesichts dieser Tatsachen ist es offensichtlich, dass die Bedrohungen für die Softwaresicherheit nicht nur real sind, sondern auch anhalten. Die beruhigende Nachricht ist Barbero zufolge jedoch, dass sich die derzeitigen Sicherheitspraktiken als wirksam erweisen: „Jüngste Vorfälle wie die Linux SSH Schwachstelle und der xz utils Angriff konnten beide erfolgreich abgewehrt werden, weil die Community schnell reagiert und ihre Schutzmaßnahmen umgesetzt hat. Die Zusammenarbeit der Community ist unsere beste Verteidigung gegen solche Angriffe. Um unsere Abwehrmaßnahmen zu verstärken, übernehmen wir das SLSA-Framework für die von uns betreuten Projekte der Eclipse Foundation. Darüber hinaus entwickeln wir unsere eigenen Sicherheitsrichtlinien, um sicherzustellen, dass bei der Entwicklung dieser Projekte die besten Software-Sicherheitspraktiken im Mittelpunkt stehen.“

Ebenso wichtig ist laut Barbero das Engagement, Eclipse-Mitglieder bei der Anpassung ihrer Projekte an neue Regulierungen wie den Cybersecurity Resilience Act zu unterstützen: „Als Teil unseres proaktiven Ansatzes haben wir kürzlich die Open Regulatory Compliance Initiative ins Leben gerufen, an der weitere führende Stiftungen wie die Apache Software Foundation, OpenSSF Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation und Rust Foundation beteiligt sind. Gemeinsam wollen wir auf Best Practices basierende Prozessspezifikationen entwickeln, um die Einhaltung dieser sich entwickelnden Regulierungen zu erleichtern. Damit werden Organisationen, die Open Source einsetzen, in die Lage versetzt, diese Regularien effizienter umzusetzen.“


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*