Community • 09. April 2025
Open Source Software und ihre Schlüsselrolle in der IT-Security
Open Source Software spielt mittlerweile bewusst oder unbewusst eine zentrale Schlüsselrolle in modernen IT-Systemen & -Strategien. Fast 40 % der Unternehmen setzen auf Open Source Software. Häufig besteht leider immer noch das Vorurteil, dass der Einsatz von Open Source Software ein Sicherheitsrisiko darstellt. Hier sollte nicht vergessen werden, dass ein Großteil (70 - 90%) der Closed Source Software ebenfalls aus Open Source Software Komponenten besteht. Man kommt also eigentlich gar nicht an der direkten oder indirekten Nutzung vorbei. Die Gründe und Vorteile der Nutzung von Open Source Software sind vielfältig, aber ein zentraler Aspekt, den wir in diesem Artikel betrachten ist der Sicherheitszugewinn, den quelloffene Software bietet.
Transparenz und Kontrolle
Ein herausragender Vorteil von Open Source Software ist die Transparenz. Da der Quellcode öffentlich zugänglich ist, können Nutzer und Unternehmen ihn bis ins Detail prüfen lassen. Dies kann zum Beispiel auf Basis der Software Bill of Materials (SBOM) erfolgen, die man als Inventarliste der verbauten Softwarekomponenten betrachten kann. Das bedeutet, dass Ihr IT-Team oder externe Sicherheitsprüfer den Code schnell und unabhängig von der Zustimmung eines Herstellers auf potenzielle Schwachstellen hin untersuchen können. Diese Transparenz schafft ein hohes Maß an Vertrauen, denn sie erlaubt es, Sicherheitsprobleme frühzeitig zu erkennen und zu beheben, bevor sie Schaden anrichten können.
Darüber hinaus haben Sie die volle Kontrolle über den Code, wenn Sie das Projekt kopieren und selbst auf Ihrer eigenen Infrastruktur betreiben. Sie können ihn an Ihre spezifischen Sicherheitsanforderungen anpassen, was Ihnen eine Flexibilität gibt, die bei proprietärer Software naturgemäß fehlt. Diese Kontrolle bedeutet auch, dass Sie nicht auf Updates oder Patches vom Hersteller warten müssen, sondern Sicherheitslücken selbst schließen können. Alternativ können Sie die Entwickler kontaktieren und auf Sicherheitsprobleme hinweisen bzw. selbst eine Lösung entwickeln und diese in das Open Source Projekt einfügen. So kann die gesamte Community von dieser Lösung profitieren.
Schnelle Reaktionszeiten durch Community-Unterstützung
Der Community-Aspekt ist ein weiterer wichtiger Aspekt, der im Rahmen der Open Source Security zu betrachten ist. Hier ist vor allem die Geschwindigkeit, mit der Sicherheitslücken in Open Source Software erkannt und behoben werden, hervorzuheben. Millionen von Entwicklern, Forschern und Nutzern auf der ganzen Welt arbeiten kontinuierlich daran, den Open Source Code zu verbessern und Sicherheitslücken zu schließen. Dies geschieht auch nicht aus reiner Freundlichkeit, sondern auch aus der Notwendigkeit heraus, dass jeder Nutzer selbst eine sichere Software nutzen möchte. Wer also nicht alleine auf das Gute im Menschen setzen möchte, kann sich auf das Eigeninteresse an sicherer Software der Code-Nutzer verlassen.
Ein aktuelles Beispiel ist die XZ Utils Backdoor. Bei diesem Vorfall handelte es sich um einen Social Engineering Angriff, der sich über zwei Jahre erstreckte. Die Angreifer versuchten, eine Schwachstelle von Open Source Projekten (überforderte Maintainer) auszunutzen und schafften es so eine Backdoor in das XZ Utils Projekt einzubauen. Dieser Vorfall wird häufig als Schwäche von Open Source Projekten dargestellt, doch zeigt er eigentlich deutlich deren Sicherheit und die Reaktionsfähigkeit der Open Source Community. Die Sicherheitslücke wurde von der Community noch vor dem offiziellen Release als endgültige, stabile zu betrachtende Version identifiziert, analysiert und geschlossen. Die Angreifer haben also 2 Jahre lang umsonst gearbeitet.
Für Unternehmen bedeutet der Community-Aspekt, dass nicht nur sie, sondern auch die Community Sicherheitsbedrohungen entdecken und auf diese reagieren können, ohne auf den Zeitplan eines Softwareanbieters angewiesen zu sein. Diese schnelle Reaktionsfähigkeit ist entscheidend, um Sicherheitsvorfälle zu minimieren und potenzielle Schäden abzuwenden.
Unabhängigkeit und Flexibilität als Sicherheitsstrategie
Ein weiteres entscheidendes Argument für den Einsatz von Open Source Software ist die Unabhängigkeit, die sie bietet. In vielen Unternehmen besteht das Risiko eines Vendor Lock-Ins, also einer Abhängigkeit von einem bestimmten Softwareanbieter. Diese Abhängigkeit kann die Fähigkeit Ihres Unternehmens einschränken, schnell und flexibel auf neue Sicherheitsbedrohungen oder aber auf die Einstellung eines Dienstes sowie eine inakzeptable Preissteigerung zu reagieren.
Mit Open Source Software haben Sie diese Einschränkung nicht. Sie sind nicht auf die Entscheidungen eines Anbieters angewiesen, sondern können den Quellcode selbst oder durch Dienstleister anpassen lassen. Das gibt Ihnen die Flexibilität, Ihre Sicherheitsinfrastruktur maßgeschneidert zu gestalten und bei Bedarf schnell zu reagieren. Diese Unabhängigkeit ermöglicht es Ihnen, innovativ und agil zu bleiben, sowie langfristig potenzielle Kosten zu sparen.
Kosteneffizienz durch den Einsatz von Open Source
Neben den Sicherheitsvorteilen bietet Open Source Software somit auch erhebliche Potenziale bei Kosteneinsparungen. Da Open Source Software in der Regel keine Lizenzgebühren erfordert, können Unternehmen erhebliche Mittel freisetzen, die dann in andere sicherheitsrelevante Bereiche investiert werden können, wie in Schulungen, Penetrationstests oder in die Optimierung der eigenen Softwareentwicklung.
Doch die Kosteneffizienz endet nicht bei den Lizenzgebühren. Auch die Implementierung und Wartung von Open Source Software ist oft günstiger, weil Sie nicht unbedingt an die Preismodelle und Services eines monopolistischen Anbieters gebunden sind.
Allerdings sei hier erwähnt, dass Open Source Software nicht als umsonst zu betrachten ist. Ein weit verbreitetes Problem ist, dass die Last zur Aufrechterhaltung der Projekte häufig auf wenigen Schultern verteilt ist (wie bei XZ Utils der Fall). Diese Maintainer von den Projekten werden meist nicht für Ihre Arbeit entsprechend (häufig gar nicht) bezahlt und das, obwohl die Projekte essenzieller Bestandteil der Infrastruktur sind, auf denen unsere digitalisierte Gesellschaft aufgebaut ist. Hier sei zu erwähnen, dass man Open Source Projekte auch als Unternehmen finanziell unterstützen kann, ohne direkt eine Lizenz erwerben zu müssen. Bein Interesse gibt es hier eine Auswahl an spannenden Open Source Security Projekten oder die Möglichkeit, Organisationen wie die OWASP direkt zu unterstützen (https://owasp.org/projects/).
Innovationskraft und Nachhaltigkeit in der IT-Sicherheit
Ein oft übersehener, aber sehr wichtiger Vorteil von Open Source Software ist die Innovationskraft, die sie fördert. Open Source Projekte werden von einer globalen Gemeinschaft entwickelt, die ständig an der Verbesserung des Codes arbeitet. Diese Zusammenarbeit führt im Bereich der Cybersecurity zu innovativen Sicherheitslösungen, die oft schneller und kreativer sind als das, was einzelne, isolierte Entwicklungen erreichen können.
Ein Beispiel ist die Verschlüsselungssoftware OpenSSL, die von der Open Source Community kontinuierlich weiterentwickelt wird und in vielen sicherheitskritischen Anwendungen weltweit zum Einsatz kommt. Diese Innovationskraft trägt auch zur Nachhaltigkeit Ihrer Sicherheitsstrategie bei.
Compliance
Häufig wird Compliance als Grund vorgeschoben, weswegen Open Source Software angeblich nicht im Betrieb eingesetzt werden kann. Hier komme ich gerne wieder auf den Beginn des Artikels zurück: die meisten eingesetzten Softwareprodukte enthalten ohnehin Open Source Komponenten. Sollten Sie eigenständig Software in Ihrem Unternehmen entwickeln, werden Open Source Komponenten also mit einer sehr hohen Wahrscheinlichkeit innerhalb Ihres Unternehmens in Ihre Softwareprodukte eingebaut, um „das Rad nicht neu erfinden zu müssen“. Aber auch wenn Sie Open Source Projekten nur ohne eigene Entwicklung nutzen sollten, muss dies nicht gleich eine Compliance-Katastrophe bedeuten. Die meisten Risikomanagementsysteme unterscheiden nicht zwischen Eigen- und Fremdentwicklung. Auch die Verantwortlichkeit für die Behebung von Schwachstellen kann durch Wartungsverträge und die sichere Konfiguration durch Beratungsverträge transferiert werden. Natürlich sollte der Betrieb der Open Source Software - so wie der der anderen Unternehmenssoftware auch - sicher gestaltet werden.
Um die Open Source Security strukturiert anzugehen empfehle ich die ISO 18974, welche den Aufbau und Betrieb eines Open Source Security Managements beschreibt und einen guten Leitfaden darstellt.
Fazit
Open Source Software spielt eine unverzichtbare Rolle in modernen IT-Systemen und Sicherheitsstrategien. Trotz der Herausforderungen, insbesondere in Bezug auf Compliance und die Einhaltung von Security Policies, bietet Open Source Security enorme Vorteile. Unternehmen können durch den Einsatz von Open Source Software nicht nur ihre Sicherheitsarchitektur stärken, sondern auch erhebliche Kosteneinsparungen realisieren und eine hohe Flexibilität bewahren. Die Transparenz des Quellcodes und die Unterstützung durch eine globale Entwicklergemeinschaft ermöglichen es, Sicherheitslücken schnell zu identifizieren und zu schließen, was zu einer robusteren und agilen IT-Infrastruktur führt.
Darüber hinaus fördert Open Source Software die Innovationskraft und Nachhaltigkeit in der IT-Sicherheit, da sie kontinuierlich weiterentwickelt wird und so sicherstellt, dass Unternehmen stets auf dem neuesten Stand der Technik bleiben.
Somit sollte kein modern ausgerichtetes Unternehmen seine Open Source Security vernachlässigen, sondern als essenziellen Bestandteil seiner Sicherheitsstrategie betrachten. So kann eine starke Grundlage geschaffen werden, um Bedrohungen für die IT-Systeme angemessen wirksam zu begegnen und die langfristige Sicherheit und Widerstandsfähigkeit des eigenen Unternehmens zu gewährleisten.
