{"id":1357,"date":"2020-10-02T10:01:28","date_gmt":"2020-10-02T08:01:28","guid":{"rendered":"https:\/\/www.felix-bauer-it.de\/blog\/?p=1357"},"modified":"2023-02-02T23:39:32","modified_gmt":"2023-02-02T22:39:32","slug":"it-sicherheit-bei-open-source-software","status":"publish","type":"post","link":"https:\/\/www.felix-bauer-it.de\/blog\/it-sicherheit-bei-open-source-software\/","title":{"rendered":"IT-Sicherheit bei Open-Source-Software"},"content":{"rendered":"<p>Open-Source-Software (bzw. Freie Software) hat sich\nvon einem Nischenprodukt zu einer echten Alternative gegen\u00fcber propriet\u00e4rer\n(nicht-freier) Software entwickelt. Besonders in den vergangenen 10 Jahren ist\nOpen-Source-Software zunehmend in das Bewusstsein der \u00d6ffentlichkeit ger\u00fcckt.\nSchnelle Verbreitung und Leistungsf\u00e4higkeit bei gleichzeitig geringen Kosten\nsind die Gr\u00fcnde daf\u00fcr. Zahlreiche Unternehmen setzen Open-Source-Software\nbereits ein. Laut dem Digitalverband Bitkom beteiligt sich rund jedes dritte\ngr\u00f6\u00dfere Unternehmen in Deutschland an der Entwicklung von Open-Source-L\u00f6sungen.<\/p>\n\n\n\n<p>Inwieweit Open-Source-Software sicherer ist als propriet\u00e4re\nSoftware, wird kontrovers diskutiert.<\/p>\n\n\n\n<p>Zumindest in einigen Bereichen sprechen jedoch\nArgumente f\u00fcr dem Einsatz von Open-Source-Software. Dabei d\u00fcrfen jedoch\nwichtige Aspekte nicht vernachl\u00e4ssigt werden. Wie zum Beispiel die richtige und\nsichere Konfiguration der Software, ihre Aktualisierung und Wartung.<\/p>\n\n\n\n<!--more-->\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_69_1 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title \" >Inhaltsverzeichnis<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #0a0a0a;color:#0a0a0a\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #0a0a0a;color:#0a0a0a\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 eztoc-toggle-hide-by-default' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.felix-bauer-it.de\/blog\/it-sicherheit-bei-open-source-software\/#Die_Definition_von_Open-Source-Software\" title=\"Die Definition von Open-Source-Software\">Die Definition von Open-Source-Software<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.felix-bauer-it.de\/blog\/it-sicherheit-bei-open-source-software\/#Einsatzmoeglichkeiten\" title=\"Einsatzm\u00f6glichkeiten\">Einsatzm\u00f6glichkeiten<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.felix-bauer-it.de\/blog\/it-sicherheit-bei-open-source-software\/#IT-Sicherheit_bei_Open-Source-Software\" title=\"IT-Sicherheit bei Open-Source-Software\">IT-Sicherheit bei Open-Source-Software<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.felix-bauer-it.de\/blog\/it-sicherheit-bei-open-source-software\/#Potenzielle_Vorteile_des_quelloffenen_Konzepts\" title=\"Potenzielle Vorteile des quelloffenen Konzepts:\">Potenzielle Vorteile des quelloffenen Konzepts:<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.felix-bauer-it.de\/blog\/it-sicherheit-bei-open-source-software\/#Was_ist_zu_beachten\" title=\"Was ist zu beachten?\">Was ist zu beachten?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/www.felix-bauer-it.de\/blog\/it-sicherheit-bei-open-source-software\/#Fazit\" title=\"Fazit\">Fazit<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Die_Definition_von_Open-Source-Software\"><\/span>Die Definition von Open-Source-Software <span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Open-Source-Software wird Software bezeichnet, bei der der Quellcode der \u00d6ffentlichkeit zur Verf\u00fcgung steht. Es bestehen keinerlei Nutzungseinschr\u00e4nkungen und der Quellcode darf beliebig oft modifiziert und weitergegeben werden. Die sogenannten vier Freiheiten freier Software.<\/p>\n\n\n\n<p>Software unter einer Open-Source-Lizenz erf\u00fcllt folgende\nKriterien:<\/p>\n\n\n\n<ul><li>Jeder darf sie nutzen und verbreiten.<\/li><li>Der Quellcode der Software ist frei verf\u00fcgbar.\nJedes Softwarepaket muss den Quellcode enthalten oder angeben, wo er gratis zu\nerhalten ist.<\/li><li>Der Quellcode darf ge\u00e4ndert und in der\nver\u00e4nderten Form weitergegeben werden.<\/li><\/ul>\n\n\n\n<p>Nur die GNU Public License (GPL) ist verbindlich und verpflichtet\ndazu, eigene Weiterentwicklungen ebenfalls mit den vier Freiheiten der\nAllgemeinheit zur Verf\u00fcgung zu stellen.<\/p>\n\n\n\n<p>Wichtig: \u201eFreie Software\u201c ist nicht gleichzusetzen mit\nder Bezeichnung \u201eFreeware\u201c. Der Verkauf \u201eFreier Software\u201c ist jedoch eher eine\nAusnahme.<\/p>\n\n\n\n<p>Das Erfolgsgeheimnis und die Innovationskraft von Open-Source-Software\nberuhen auf der gemeinsamen Wissensnutzung (\"Knowledge Sharing\")\naller Beteiligten.<\/p>\n\n\n\n<p>W\u00e4hrend propriet\u00e4re Lizenzen die Rechte der Anwender\nbeschr\u00e4nken und oft nur zeitlich limitierte Nutzungsrechte erteilen, k\u00f6nnen bei\nOpen-Source-Software die Nutzer an der Entwicklung neuer Anwendungen mitwirken\nund selbst entscheiden, wann sie eine neue Version einsetzen<\/p>\n\n\n\n<p>Erfahrungsgem\u00e4\u00df identifizieren sich Entwickler mit\nOpen-Source-Projekten deutlich mehr, als wenn sie nur f\u00fcr das Unternehmen\narbeiten. Sie sind motivierter. Zudem sparen die Unternehmen bei der\nEntwicklung von Standardkomponenten nicht nur Kosten, sondern auch Zeit. Wenn\nweltweit Interessierte die Programme mittesten, verbessert das die Qualit\u00e4t und\nhilft den Unternehmen, neue M\u00e4rkte fr\u00fcher mit innovativen Technologien und\nStandards zu erschlie\u00dfen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Einsatzmoeglichkeiten\"><\/span>Einsatzm\u00f6glichkeiten<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Der Einsatz von Open-Source-Software gilt seit einigen\nJahren als echte Alternative zu propriet\u00e4rer Software. Insbesondere gewinnt das\nBetriebssystem Linux an Bedeutung. Aber auch in fast allen anderen Bereichen\ngibt es interessante Alternativen aus dem Bereich der Open-Source-Software, und\nzwar sowohl im Server-Bereich als auch f\u00fcr den Einsatz auf dem Desktop.<\/p>\n\n\n\n<p>Die richtige Installation und Konfiguration besonderes\nder umfangreicheren Programme erfordert meistens Fachkenntnisse. Deshalb hat\nsich das Gesch\u00e4ftsmodell der Distributoren entwickelt, die Open-Source-Software\neinsatzfertig aufbereiten, mit geeigneten Installationsroutinen vertreiben,\nNutzer Schulen und Nebenprodukte wie Trainingsb\u00fccher verkaufen.<\/p>\n\n\n\n<p>Andere Anbieter bieten Wartungs- und Supportvertr\u00e4ge\nf\u00fcr Open-Source-Programme an und bieten damit ebenfalls die M\u00f6glichkeit,\nOpen-Source-Software zu Bedingungen im Unternehmen einzusetzen, die mit\npropriet\u00e4rer Software vergleichbar sind.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"IT-Sicherheit_bei_Open-Source-Software\"><\/span>IT-Sicherheit bei Open-Source-Software<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Die Ansicht, der Einsatz von Open-Source-Software\nerh\u00f6he die IT-Sicherheit im Unternehmen, wird von ihren Anh\u00e4ngern genauso energisch\nverteidigt wie von ihren Gegnern bestritten. Immer wieder werden Studien ver\u00f6ffentlicht,\ndie mal das eine Ergebnis und mal das genaue Gegenteil aussagen. Dabei hat\nschon allein die Diskussion zu diesem Thema zu einem deutlich verst\u00e4rkten\nSicherheitsbewusstsein in der Softwareentwicklung beigetragen. Nicht zuletzt deswegen\nhat Microsoft in den vergangenen Jahren die Investitionen in die Verbesserung\nder Sicherheit seiner Produkte stark erh\u00f6ht.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Potenzielle_Vorteile_des_quelloffenen_Konzepts\"><\/span>Potenzielle Vorteile des quelloffenen Konzepts:<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<ul><li>Sicherheitsl\u00fccken in Computerprogrammen lassen sich aufgrund\nihrer Komplexit\u00e4t und ihrer Entwicklungsqualit\u00e4t kaum vermeiden. Die Folge:\nWichtige Unternehmensdaten k\u00f6nnten von nicht berechtigten Mitarbeitern oder\nAu\u00dfenstehenden gesehen oder sogar manipuliert werden. Ein gern angef\u00fchrtes\nArgument ist, dass die Entwickler der \u201eOpen Source-Gemeinschaft\u201c Sicherheitsl\u00fccken\nschneller erkennen und beheben, als dies bei einer Abteilung eines Unternehmens\ngeschieht. Dies ist m\u00f6glich, weil der Quellcode der Programme frei zug\u00e4nglich\nist und jeder selbst nach m\u00f6glichen Sicherheitsm\u00e4ngeln suchen kann. Eine\nM\u00f6glichkeit, die nat\u00fcrlich auch denen offen steht, die diese Schwachstellen\nselbst f\u00fcr einen Angriff ausnutzen wollen.<\/li><li>Weil erfahrene Nutzer und Programmierer genau nachsehen\nk\u00f6nnen, was ein Programm wirklich macht, sch\u00fctzt Open-Source-Software vor\nversteckten Funktionen der Hersteller. F\u00fcr Unternehmen kann Open-Source-Software\nalso einen gewissen Schutz gegen Wirtschaftsspionage bieten.<\/li><li>F\u00fcr kleine und mittelst\u00e4ndische Unternehmen (kurz KMU) lassen\nsich mit Open-Source-Software oftmals Sicherheitsgewinne erzielen:\nComputerviren und andere Schadprogramme m\u00fcssen meistens auf bestimmte Systeme\nzugeschnitten sein, damit sie sich \u00fcber deren Schwachstellen verbreiten k\u00f6nnen.\nDabei konzentrieren sich Cyberkriminelle auf die am meisten verbreiteten\nPlattformen, also z. B. das Betriebssystem Windows. Wer hier eine Alternative\neinsetzt \u2013 und hier bieten sich Open-Source-Produkte oftmals an \u2013 geh\u00f6rt nicht\nmehr zur Hauptzielgruppe der Angreifer und ist schon dadurch vor vielen\nAngriffen gesch\u00fctzt.<\/li><li>Schlie\u00dflich bleibt zu erw\u00e4hnen, dass auch die Abh\u00e4ngigkeit\nbeim Einsatz von Open-Source-Produkten geringer ist: Bei einer nicht-freien Software\nkann eine Gesch\u00e4ftsaufgabe des Herstellers bedeuten, dass die von ihm\nangebotene Software nicht mehr gepatcht und weiterentwickelt wird. Bei Open-Source-L\u00f6sungen\nsind Anpassungen und Weiterentwicklungen - durch den offenliegenden Quelltext \u2013\njederzeit m\u00f6glich.<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Was_ist_zu_beachten\"><\/span>Was ist zu beachten?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Die aufgef\u00fchrten Aspekte zeigen, wie der\nOpen-Source-Einsatz zur Informationssicherheit im Unternehmen beitragen \u201ekann\u201c.\nDabei ist jedoch zu beachten, dass Sicherheit nur dann gegeben ist, wenn beim\nEinsatz bestimmte Grundregeln beachtet werden.<\/p>\n\n\n\n<ul><li>Dies beginnt mit der Auswahl der Open-Source-Software. Nicht jede Software ist vertrauensw\u00fcrdig. Der Einsatz eines Open-Source-Produktes erfordert deshalb im Vorfeld eine Recherche, ob es sich um ein vertrauensw\u00fcrdiges Produkt handelt. Eine Software wird nicht allein durch die Ver\u00f6ffentlichung des Quellcodes besser. Nicht selten entwickeln nur sehr wenige Personen \u00fcber Jahre hinweg an einem Open-Source-Projekt. Es gibt hier also eine sehr beschr\u00e4nkte Anzahl Augen, die den Quellcode wirklich kennen und verstehen. Ein gesundes Mistrauen ist angebracht.<\/li><li>Open-Source-Produkte erlauben oft zahlreiche Konfigurationseinstellungen, die das Sicherheitsniveau der Software mitbestimmen. Hier empfiehlt sich, die Einrichtung von einem Fachmann durchf\u00fchren zu lassen. Um alle Sicherheitsaspekte ausreichend zu ber\u00fccksichtigen. Unter dem Strich ist deshalb auch der Einsatz von Open-Source-Software im konkreten Fall den Kosten von propriet\u00e4ren L\u00f6sungen gegen\u00fcberzustellen.<\/li><li>Gerade weil die Open-Source-Entwickler st\u00e4ndig bem\u00fcht sind, Schwachstellen in den Produkten aufzusp\u00fcren und zu beseitigen, muss die eingesetzte Open-Source-Software im Betrieb regelm\u00e4\u00dfig aktualisiert werden. Denn wenn eine Schwachstelle von den Entwicklern beseitigt und publiziert wird, dann wird nat\u00fcrlich auch bekannt, dass die Schwachstelle in den alten Versionen vorhanden ist. Wer seine Systeme nicht aktualisiert, l\u00e4uft deshalb Gefahr, \u00fcber genau diese Schwachstellen angegriffen zu werden. Die meisten Angriffe richten sich gegen sicherheitsrelevante Schwachstellen, die durch einen l\u00e4ngst ver\u00f6ffentlichten Patch eigentlich behoben sein sollten. <\/li><li>Nicht jeder Entwickler, der Open-Source-Komponenten verwendet, ist ein ausgewiesener Sicherheitsexperte. Der Informationsaustausch zwischen Sicherheitsfachleute und Entwickler ist f\u00fcr ein belastbares Sicherheitskonzept unerl\u00e4sslich<\/li><li>Abschlie\u00dfend m\u00f6chte ich noch eine Aussage vom IT-Sicherheitsexperten <a href=\"https:\/\/twitter.com\/rene_hif\" data-type=\"URL\" data-id=\"https:\/\/twitter.com\/rene_hif\">Ren\u00e9 Hifinger<\/a> zitieren: \u201eWird der aktuelle Sicherheitsstandard eines Unternehmens als gut beurteilt, ist das noch lange kein Grund, sich darauf auszuruhen. In der IT-Sicherheitsbranche bedeutet Stillstand R\u00fcckschritt. Wird Open-Source Software im Unternehmen eingesetzt, sollten regelm\u00e4\u00dfig m\u00f6gliche Angriffsvektoren, Gefahrenquellen, und Sicherheitsschwachstellen ausgewertet werden.\u201c<\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fazit\"><\/span>Fazit <span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Befassen sich viele Programmierer mit der\nWeiterentwicklung einen Open-Source-Software ist die Chance, ein sicheres\nProjekt vor sich zu haben, recht hoch. Potenzielle Sicherheitsprobleme werden\nschnell identifiziert und behoben. Doch Open-Source-Software ist nicht pauschal\nder Schl\u00fcssel zu mehr Sicherheit. Ebenso wie propriet\u00e4re Software nicht generell\nkritisch ist. <\/p>\n\n\n\n<p> Bei beiden Konzepten ist eine <strong>Kombination aus proaktiven Ma\u00dfnahmen und mehr Transparenz<\/strong> der Schl\u00fcssel zu mehr Sicherheit. <\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2020\/10\/sicherheit-open-source-700x179.png\" alt=\"Sicherheit Open Source und Closed Source\" class=\"wp-image-1365\" width=\"700\" height=\"179\" srcset=\"https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2020\/10\/sicherheit-open-source-700x179.png 700w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2020\/10\/sicherheit-open-source-300x77.png 300w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2020\/10\/sicherheit-open-source-768x197.png 768w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2020\/10\/sicherheit-open-source.png 800w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption>IT-Sicherheit: Open Source vs. Closed Source<\/figcaption><\/figure><\/div>","protected":false},"excerpt":{"rendered":"<p>Open-Source-Software (bzw. Freie Software) hat sich von einem Nischenprodukt zu einer echten Alternative gegen\u00fcber propriet\u00e4rer (nicht-freier) Software entwickelt. Besonders in den vergangenen 10 Jahren ist Open-Source-Software zunehmend in das Bewusstsein der \u00d6ffentlichkeit ger\u00fcckt. Schnelle Verbreitung und Leistungsf\u00e4higkeit bei gleichzeitig geringen Kosten sind die Gr\u00fcnde daf\u00fcr. Zahlreiche Unternehmen setzen Open-Source-Software bereits ein. Laut dem Digitalverband Bitkom...<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts\/1357"}],"collection":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/comments?post=1357"}],"version-history":[{"count":19,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts\/1357\/revisions"}],"predecessor-version":[{"id":1707,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts\/1357\/revisions\/1707"}],"wp:attachment":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/media?parent=1357"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/categories?post=1357"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/tags?post=1357"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}