Open Source Security

Klare Regeln gefordert

19. Juli 2019, 14:49 Uhr | Autor: Julian Totzek-Hallhuber / Redaktion: Diana Künstler

Auf frei zugängliche Komponenten kann kein Entwickler verzichten. Selbst bei sicherheitsrelevanten Anwendungen kommen sie zum Einsatz, denn die Nutzung von Open-Source-Bibliotheken senkt die Entwicklungszeit und die Kosten. Das kann Unternehmen im Ernstfall allerdings auch teuer zu stehen kommen.

Rund fünf Millionen Open-Source-Bibliotheken (OSB) stehen weltweit zur Verfügung. Bis 2030 soll es eine halbe Milliarde sein. Was für Entwickler eine enorme Zeitersparnis bringt und die Kosten der Unternehmen senkt, kann zugleich große Sicherheitslöcher reißen. Denn OSB werden selten so genau geprüft wie eigenentwickelte Softwarekomponenten. Wenn sich ein Code als angreifbar erweist, ist es meistens schon zu spät. Selbst wenn eine Anwendung noch nicht betroffen ist, kostet es Zeit und kann sehr teuer werden, die betroffenen OSB zu ersetzen. Häufig geht die Anwendung vom Netz, was zusätzliche Ausgaben verursachen und sogar die Reputation kosten kann.

Der „State of Software-Security 2017“-Report von Veracode förderte zutage, dass 44 Prozent aller Anwendungen mit Open-Source-Komponenten erhebliche Schwachstellen aufwiesen. Was Cyberkriminelle damit anrichten können, zeigte sich im November 2016 im öffentlichen Nahverkehrssystem in San Francisco: Eine Schwachstelle in der Apache Commons Collections legte mehr als 2.100 Rechner lahm.

Tickende Schwachstellen
Zunächst unbemerkt können solche Open-Source-Bibliotheken tückische Schwachstellen in eine ansonsten gut programmierte Anwendung einschleusen. Zudem basiert die aktuelle Anwendungssicherheitslandschaft auf öffentlichen Common Vulnerabilities and Exposures (CVEs), die vor DevOps und vor der steigenden Verbreitung von OSB erstellt wurden. Vor diesem Hintergrund ist es nachvollziehbar, dass kaum ein Entwickler darauf wartet, dass eine Schwachstelle zu einer öffentlichen Liste hinzugefügt wird. Für Unternehmen erhöht sich das Sicherheitsrisiko – wobei gebrochene Compliance-Vorgaben und Mängellisten in Audits noch den geringsten Schaden anrichten.

Die Software-Lieferkette ist nur so stabil wie die schwächste OSB
Es wäre vermessen zu fordern, dass Software-Entwickler und ihre Auftraggeber nun auf den Einsatz von OSB verzichten sollen. Aber wenn sie die freie Software einsetzen, sollten sie strenge Sicherheitsregeln definieren, die den Schadenseintritt aufhalten. Den weltweiten Umsatz mit OS-Lösungen wird für das Jahr 2020 auf rund 57 Milliarden Dollar prognostiziert. Warum sollten OSB-Nutzer gerade bei der Sicherheit Abstriche machen? Vielmehr sollten sie Vorkehrungen treffen, um Sicherheitslücken zu reduzieren. Denn eine OSB mit Sicherheitslücken bedeutet nicht automatisch, dass das Unternehmen verwundbar wird. Wichtiger ist, wie eine Komponente eingebunden ist und ob diese so integriert wurde, dass eine Schwachstelle auch leicht ausnutzbar ist. Denn häufig verwenden die Entwickler lediglich einzelne Code-Fragmente, eine Methode oder eine Funktion. Das führt dazu, dass auch bei einer angreifbaren OSB die damit verarbeiteten Daten gar nicht betroffen sind und eine Cyberattacke ins Leere läuft.

Wichtiger ist also, eine Anwendung über ihren gesamten Lebenszyklus aktiv zu managen und regelmäßig Sicherheitsüberprüfungen vorzunehmen. Auch wenn hierdurch Kosten entstehen, profitieren Unternehmen einerseits von der Effizienz der OSB und schützen sich andererseits vor plötzlichen Bedrohungen. Zumal eine präventive Sicherheitspolitik immer günstiger ist als die Fehlerbehebung nach einem Schadenseintritt. Nach Erhebungen von Veracode brauchen Entwickler durchschnittlich 93 Tage, bis sie mindestens 25 Prozent vorhandener Fehler in ihren Open-Source-Codes aufdecken und entfernen. Und auch Cyberkriminelle gehen immer perfider vor: Statt einzelne Anwendungen anzugreifen, gehen sie dazu über, lediglich Komponenten in OSB zu infizieren, um die Auswirkungen auf eine Vielzahl von Anwendungen auszudehnen. So gibt es immer mehr bösartige Hacker, die Schadcode in viel genutzte und als vertrauenswürdig bekannte OSB einschleusen, die die Entwickler dann gutgläubig übernehmen. Mittlerweile ist Ransomware die beliebteste Strategie, die nach großflächigen Schäden aber zu einem Umdenken bei IT-Verantwortlichen führte. Denn auch mit cloudbasierten Anwendungen haben das Sicherheitsbewusstsein und regelmäßige Scans nach Schwachstellen zugenommen. Und weil sicherheitsrelevante und unternehmenskritische Anwendungen in immer kürzeren Abständen erweitert werden, zeigt sich mittlerweile ein Trend zur Automatisierung und kontinuierlicher Bereitstellung von Sicherheits-Scans in der Entwicklung.