IT-Sicherheit bei Open-Source-Software

Open-Source-Software (bzw. Freie Software) hat sich von einem Nischenprodukt zu einer echten Alternative gegenüber proprietärer (nicht-freier) Software entwickelt. Besonders in den vergangenen 10 Jahren ist Open-Source-Software zunehmend in das Bewusstsein der Öffentlichkeit gerückt. Schnelle Verbreitung und Leistungsfähigkeit bei gleichzeitig geringen Kosten sind die Gründe dafür. Zahlreiche Unternehmen setzen Open-Source-Software bereits ein. Laut dem Digitalverband Bitkom beteiligt sich rund jedes dritte größere Unternehmen in Deutschland an der Entwicklung von Open-Source-Lösungen.

Inwieweit Open-Source-Software sicherer ist als proprietäre Software, wird kontrovers diskutiert.

Zumindest in einigen Bereichen sprechen jedoch Argumente für dem Einsatz von Open-Source-Software. Dabei dürfen jedoch wichtige Aspekte nicht vernachlässigt werden. Wie zum Beispiel die richtige und sichere Konfiguration der Software, ihre Aktualisierung und Wartung.

Die Definition von Open-Source-Software

Open-Source-Software wird Software bezeichnet, bei der der Quellcode der Öffentlichkeit zur Verfügung steht. Es bestehen keinerlei Nutzungseinschränkungen und der Quellcode darf beliebig oft modifiziert und weitergegeben werden. Die sogenannten vier Freiheiten freier Software.

Software unter einer Open-Source-Lizenz erfüllt folgende Kriterien:

  • Jeder darf sie nutzen und verbreiten.
  • Der Quellcode der Software ist frei verfügbar. Jedes Softwarepaket muss den Quellcode enthalten oder angeben, wo er gratis zu erhalten ist.
  • Der Quellcode darf geändert und in der veränderten Form weitergegeben werden.

Nur die GNU Public License (GPL) ist verbindlich und verpflichtet dazu, eigene Weiterentwicklungen ebenfalls mit den vier Freiheiten der Allgemeinheit zur Verfügung zu stellen.

Wichtig: „Freie Software“ ist nicht gleichzusetzen mit der Bezeichnung „Freeware“. Der Verkauf „Freier Software“ ist jedoch eher eine Ausnahme.

Das Erfolgsgeheimnis und die Innovationskraft von Open-Source-Software beruhen auf der gemeinsamen Wissensnutzung („Knowledge Sharing“) aller Beteiligten.

Während proprietäre Lizenzen die Rechte der Anwender beschränken und oft nur zeitlich limitierte Nutzungsrechte erteilen, können bei Open-Source-Software die Nutzer an der Entwicklung neuer Anwendungen mitwirken und selbst entscheiden, wann sie eine neue Version einsetzen

Erfahrungsgemäß identifizieren sich Entwickler mit Open-Source-Projekten deutlich mehr, als wenn sie nur für das Unternehmen arbeiten. Sie sind motivierter. Zudem sparen die Unternehmen bei der Entwicklung von Standardkomponenten nicht nur Kosten, sondern auch Zeit. Wenn weltweit Interessierte die Programme mittesten, verbessert das die Qualität und hilft den Unternehmen, neue Märkte früher mit innovativen Technologien und Standards zu erschließen.

Einsatzmöglichkeiten

Der Einsatz von Open-Source-Software gilt seit einigen Jahren als echte Alternative zu proprietärer Software. Insbesondere gewinnt das Betriebssystem Linux an Bedeutung. Aber auch in fast allen anderen Bereichen gibt es interessante Alternativen aus dem Bereich der Open-Source-Software, und zwar sowohl im Server-Bereich als auch für den Einsatz auf dem Desktop.

Die richtige Installation und Konfiguration besonderes der umfangreicheren Programme erfordert meistens Fachkenntnisse. Deshalb hat sich das Geschäftsmodell der Distributoren entwickelt, die Open-Source-Software einsatzfertig aufbereiten, mit geeigneten Installationsroutinen vertreiben, Nutzer Schulen und Nebenprodukte wie Trainingsbücher verkaufen.

Andere Anbieter bieten Wartungs- und Supportverträge für Open-Source-Programme an und bieten damit ebenfalls die Möglichkeit, Open-Source-Software zu Bedingungen im Unternehmen einzusetzen, die mit proprietärer Software vergleichbar sind.

IT-Sicherheit bei Open-Source-Software

Die Ansicht, der Einsatz von Open-Source-Software erhöhe die IT-Sicherheit im Unternehmen, wird von ihren Anhängern genauso energisch verteidigt wie von ihren Gegnern bestritten. Immer wieder werden Studien veröffentlicht, die mal das eine Ergebnis und mal das genaue Gegenteil aussagen. Dabei hat schon allein die Diskussion zu diesem Thema zu einem deutlich verstärkten Sicherheitsbewusstsein in der Softwareentwicklung beigetragen. Nicht zuletzt deswegen hat Microsoft in den vergangenen Jahren die Investitionen in die Verbesserung der Sicherheit seiner Produkte stark erhöht.

Potenzielle Vorteile des quelloffenen Konzepts:

  • Sicherheitslücken in Computerprogrammen lassen sich aufgrund ihrer Komplexität und ihrer Entwicklungsqualität kaum vermeiden. Die Folge: Wichtige Unternehmensdaten könnten von nicht berechtigten Mitarbeitern oder Außenstehenden gesehen oder sogar manipuliert werden. Ein gern angeführtes Argument ist, dass die Entwickler der „Open Source-Gemeinschaft“ Sicherheitslücken schneller erkennen und beheben, als dies bei einer Abteilung eines Unternehmens geschieht. Dies ist möglich, weil der Quellcode der Programme frei zugänglich ist und jeder selbst nach möglichen Sicherheitsmängeln suchen kann. Eine Möglichkeit, die natürlich auch denen offen steht, die diese Schwachstellen selbst für einen Angriff ausnutzen wollen.
  • Weil erfahrene Nutzer und Programmierer genau nachsehen können, was ein Programm wirklich macht, schützt Open-Source-Software vor versteckten Funktionen der Hersteller. Für Unternehmen kann Open-Source-Software also einen gewissen Schutz gegen Wirtschaftsspionage bieten.
  • Für kleine und mittelständische Unternehmen (kurz KMU) lassen sich mit Open-Source-Software oftmals Sicherheitsgewinne erzielen: Computerviren und andere Schadprogramme müssen meistens auf bestimmte Systeme zugeschnitten sein, damit sie sich über deren Schwachstellen verbreiten können. Dabei konzentrieren sich Cyberkriminelle auf die am meisten verbreiteten Plattformen, also z. B. das Betriebssystem Windows. Wer hier eine Alternative einsetzt – und hier bieten sich Open-Source-Produkte oftmals an – gehört nicht mehr zur Hauptzielgruppe der Angreifer und ist schon dadurch vor vielen Angriffen geschützt.
  • Schließlich bleibt zu erwähnen, dass auch die Abhängigkeit beim Einsatz von Open-Source-Produkten geringer ist: Bei einer nicht-freien Software kann eine Geschäftsaufgabe des Herstellers bedeuten, dass die von ihm angebotene Software nicht mehr gepatcht und weiterentwickelt wird. Bei Open-Source-Lösungen sind Anpassungen und Weiterentwicklungen – durch den offenliegenden Quelltext – jederzeit möglich.

Was ist zu beachten?

Die aufgeführten Aspekte zeigen, wie der Open-Source-Einsatz zur Informationssicherheit im Unternehmen beitragen „kann“. Dabei ist jedoch zu beachten, dass Sicherheit nur dann gegeben ist, wenn beim Einsatz bestimmte Grundregeln beachtet werden.

  • Dies beginnt mit der Auswahl der Open-Source-Software. Nicht jede Software ist vertrauenswürdig. Der Einsatz eines Open-Source-Produktes erfordert deshalb im Vorfeld eine Recherche, ob es sich um ein vertrauenswürdiges Produkt handelt. Eine Software wird nicht allein durch die Veröffentlichung des Quellcodes besser. Nicht selten entwickeln nur sehr wenige Personen über Jahre hinweg an einem Open-Source-Projekt. Es gibt hier also eine sehr beschränkte Anzahl Augen, die den Quellcode wirklich kennen und verstehen. Ein gesundes Mistrauen ist angebracht.
  • Open-Source-Produkte erlauben oft zahlreiche Konfigurationseinstellungen, die das Sicherheitsniveau der Software mitbestimmen. Hier empfiehlt sich, die Einrichtung von einem Fachmann durchführen zu lassen. Um alle Sicherheitsaspekte ausreichend zu berücksichtigen. Unter dem Strich ist deshalb auch der Einsatz von Open-Source-Software im konkreten Fall den Kosten von proprietären Lösungen gegenüberzustellen.
  • Gerade weil die Open-Source-Entwickler ständig bemüht sind, Schwachstellen in den Produkten aufzuspüren und zu beseitigen, muss die eingesetzte Open-Source-Software im Betrieb regelmäßig aktualisiert werden. Denn wenn eine Schwachstelle von den Entwicklern beseitigt und publiziert wird, dann wird natürlich auch bekannt, dass die Schwachstelle in den alten Versionen vorhanden ist. Wer seine Systeme nicht aktualisiert, läuft deshalb Gefahr, über genau diese Schwachstellen angegriffen zu werden. Die meisten Angriffe richten sich gegen sicherheitsrelevante Schwachstellen, die durch einen längst veröffentlichten Patch eigentlich behoben sein sollten.
  • Wird der aktuelle Sicherheitsstandard eines Unternehmens als gut beurteilt wird, ist das noch lange kein Grund, sich darauf auszuruhen. In der IT-Sicherheitsbranche bedeutet Stillstand Rückschritt. Wird Open-Source Software im Unternehmen eingesetzt, sollten regelmäßig mögliche Angriffsvektoren, Gefahrenquellen, und Sicherheitsschwachstellen ausgewertet werden.
  • Nicht jeder Entwickler, der Open-Source-Komponenten verwendet, ist ein ausgewiesener Sicherheitsexperte. Der Informationsaustausch zwischen Sicherheitsfachleute und Entwickler ist für ein belastbares Sicherheitskonzept unerlässlich

Fazit

Befassen sich viele Programmierer mit der Weiterentwicklung einen Open-Source-Software ist die Chance, ein sicheres Projekt vor sich zu haben, recht hoch. Potenzielle Sicherheitsprobleme werden schnell identifiziert und behoben. Doch Open-Source-Software ist nicht pauschal der Schlüssel zu mehr Sicherheit. Ebenso wie proprietäre Software nicht generell kritisch ist.

Bei beiden Konzepten ist eine Kombination aus proaktiven Maßnahmen und mehr Transparenz der Schlüssel zu mehr Sicherheit.

Sicherheit Open Source und Closed Source
IT-Sicherheit: Open Source vs. Closed Source
Felix Bauer
Felix Bauer
Felix Bauer ist IT-Security Consultant und IT Fachjournalist (Themen: IT-Sicherheit und Datenschutz). Felix Bauer ist seit 20 Jahren in der IT-Sicherheitsbranche tätig. Sein Hauptschwerpunkt liegt auf dem Thema „Virenschutz für Endanwender“. Felix Bauer ist OpenSource-Evangelist und besitzt den Master of Science in Security and Forensic Computing. Felix Bauer hat bereits an zahlreichen IT-Sicherheitskonferenzen uns sonstigen IT-Sicherheitstagungen teilgenommen und diverse professionelle Qualifikationen im Bereich der IT-Sicherheit.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.