Open Source - Sicherheit durch Offenheit?
Seit Jahrzehnten wird Open-Source-Software für zahlreiche IT-Anwendungen genutzt. Meist bestehen jedoch Ungewissheiten, wie und mit welchen Sicherheitsrisiken eine frei zugängliche Software genutzt werden kann. Selbst die Forschungsabteilung des US-Militärs wird nun darauf aufmerksam. Wir bringen für Sie Licht ins Dunkel.
Digitale Autonomie durch Open Source
Mit Android, Linux, LibreOffice, Open Office und Co. finden Open-Source-Softwares (kurz OSS) im TV, zahlreichen Smartphones und den meisten Computern vielseitig Anwendung. Selbst autonome Fahrzeuge der Automobilindustrie oder Campus-Netzwerke an Universitäten setzen auf die öffentlich zugänglichen Programme.
OSS sind quelloffen, der Code für jede:n lesbar. Die Verwendung und prinzipiell selbst die Anpassung des Codes ist uneingeschränkt möglich – für letzteres sind lediglich entsprechende Programmierkenntnisse nötig. Der Zugang zu OSS kann kostenlos sein, muss aber nicht.
Wichtig ist die Quelloffenheit: Die öffentliche Community ist essenziell für das Bestehen und die Weiterentwicklung der dezentralen Software. Dadurch hängt Open-Source-Software nicht von einem einzelnen Programmierenden oder Unternehmen ab, was von Vorteil für alle Nutzer:innen ist.
Die Community fördert automatisch auch ein höheres Innovationstempo bei der Weiterentwicklung und Fehleridentifikation der Software. Viele Entwickelnde arbeiten mit ihrer Expertise zusammen an einem Projekt. Durch diese Vielzahl an Fachleuten werden Sicherheitslücken schneller entdeckt und stetige Kontrollen durchgeführt. Gleichzeitig entsteht durch die Transparenz der Software ein gewisses Vertrauen, da der Code von allen überprüfbar ist, gleich ob Privatperson oder Unternehmen.
Fluch und Segen?
Neben den Vorteilen, die Open-Source-Software mit sich bringt, kann die öffentliche Bearbeitungsmöglichkeit gleichzeitig ein Sicherheitsleck darstellen. Feindliche oder schädliche Codes können durch den offenen Zugang ohne größerer Hürden eingeschleust werden. Diese Attacken werden Lieferketten-Angriffe genannt. So beispielsweise mit Log4j im Jahr 2021, was gezeigt hat, wie anfällig etwa Bundesregierungen oder kritische Infrastrukturen sind.
Durch die stetige Einsicht der vielen Expert:innen werden solche Angriffe zwar oftmals schnell aufgespürt. Allerdings besteht immer die Gefahr, dass die feindliche Manipulation unentdeckt bleibt oder weitere Neueinschleusungen stattfinden. Mit diesem Problem hat sich auch die DARPA vertraut gemacht, die Forschungsabteilung des US-Militärs. Sie möchte den Entwicklungsprozess der Software und die Rolle der Community mittels Künstlicher Intelligenz (KI) untersuchen, um die Risiken, denen Nutzende des Linux-Kernels ausgesetzt sind, besser zu verstehen. Die Idee dahinter ist, dass die KI nun in einem Projekt den von der riesigen Gemeinschaft erschaffenen Code erfassen, verstehen und schützen soll. Nebenbei treibt die USA die Anforderungen bezüglich der Software Bills of Materials (SBOM), quasi der Zutatenliste einer Software, noch stärker voran, was für Nutzende von Open-Source-Software mehr Einblick bringen soll. Erst wer weiß, was drin ist, kann damit auch sicher arbeiten und Fehler schneller entdecken.
Außerdem ist anzumerken, dass der Erfolg eines Open-Source-Projekts stark von der aktiven Community abhängt! Einerseits ist die stete Weiterentwicklung der Software nicht gewährleistet. Andererseits sind viele Projekte auf Spenden angewiesen. Wirkliche Programmierprofis unter Mitarbeitenden sind zudem ein weiterer Faktor, um schädliche Angriffe schnellstmöglich zu erkennen und zu beheben.
Open Software vs. Proprietäre Software
Das Gegenbeispiel zu Open-Source-Software stellt proprietäre Software dar, deren Nutzung und Weiterverbreitung durch Anbietende stark eingeschränkt werden können. Dies wird über Softwarepatente, das Urheberrecht und Lizenzbedingungen sichergestellt, wodurch Besitzer:innen allein Zugriff auf ihren eigenen Quellcode haben. Eine legale Veränderung oder das Kopieren des Codes wird somit unterbunden. Klassische Beispiele für PC-Anwendungen sind iOS oder Windows.
Je nach Interesse eines Unternehmens fällt die Wahl auf Open Source oder proprietäre Software. Eines steht fest: Unternehmen profitieren von der Arbeit anderer bei der stetigen Optimierung der OSS. Wer Expert:innen im Unternehmen bezüglich OSS hat, der hat sich für mögliche auftretende Sicherheitslücken gut gewappnet.
Bei proprietärer Software haben Endnutzer:innen den Vorteil der Kontinuität des Projekts sowie des professionellen Supports. Unternehmen müssen sich die Frage stellen, welche Cloud-Infrastruktur, die mit den Unternehmenszielen kompatibel ist, genützt werden soll.