Security
Open Source vs. Closed Source - eine Frage der Sicherheit?
Fortsetzung des Artikels von Teil 1
Sicherheit: Die Statistik lügt nicht
Was ist sicherer, Open Source oder Closed Source? Die Frage ist so spannend und zugleich so komplex, dass auch die Wissenschaft sich regelmäßig mit ihr beschäftigt. Aufschlussreich sind insbesondere empirische Analysen, wie sie etwa der Regensburger Informatiker Guido Schryen durchgeführt hat. In seiner Studie vergleicht er die Zahl an Sicherheitslücken in proprietären und quelloffenen Software-Paketen. Das Ergebnis: Im Schnitt weisen beide Lizenzmodelle gleich viele Sicherheitslücken auf. Auch hier entscheidet also der individuelle Fall.
Aber nicht nur fertige Software-Pakete, sondern auch einzelne Komponenten, die Unternehmen in Anwendungen verbauen, müssen kritisch beäugt werden. Ein brandaktuelles Beispiel liefert die PHP-Bibliothek PHPMailer, die von verbreiteten Webapplikationen wie Joomla oder WordPress genutzt wird. Sie enthält eine Schwachstelle, die es Angreifern ermöglicht, Code in den Server einzuschleusen und auszuführen. Auch alle auf dem Server liegenden Dateien können eingesehen werden. Die hohe Verbreitung der Bibliothek macht die Lücke doppelt problematisch: Für Kriminelle lohnt es sich nun, systematisch oder sogar automatisiert nach Anwendungen zu suchen, die PHPMailer nutzen.
Das Schadenspotenzial ist gigantisch. Und leider handelt es sich hierbei nicht um ein einmaliges Vorkommnis: Sicherheitsexperten haben in den letzten Jahren eine ganze Reihe an Sicherheitslücken in Drittanbieter-Komponenten aufgedeckt. So etwa eine als „Heartbleed“ bekanntgewordene Lücke in der quelloffenen Verschlüsselungsbibliothek Open SSL. Sie betraf Millionen von Webservern, alle Arten von Daten und Anwendungen wurden für Hacker zugänglich. Ähnlich dramatische Effekte hatte eine Schwachstelle im proprietären Code von Microsoft Windows, die im November 2014 bekannt wurde. Unter anderem nutzten sie Cyberkriminelle, um Kreditkarteninformationen von 56 Millionen Kunden der amerikanischen Handelskette Home Depot zu stehlen.
Veracode hat vor Kurzem den neuen State of Software Security (SoSS) Report vorgestellt. Erstmals ging es auch um die Risiken, die durch den Einsatz von Open-Source-Komponenten bei der Anwendungsentwicklung entstehen können.
In den seltensten Fällen ist es für Unternehmen wirtschaftlich sinnvoll, Anwendungen vollständig selbst zu entwickeln. Daher sind Open-Source-Komponenten in der Anwendungsentwicklung omnipräsent. Obwohl der Einsatz von Open-Source-Komponenten dem Industriestandard entspricht, sind damit doch immense Sicherheitsrisiken verbunden. Die Auswertung von 5.300 Unternehmensanwendungen hat ergeben, dass Komponenten von Drittanbietern im Durchschnitt 24 bekannte Schwachstellen in Web-Anwendungen haben. Und die unsicheren Komponenten sind keine Ausnahmefälle. Eine systematische Untersuchung von Java-Anwendungen ergab, dass 97 Prozent von ihnen mindestens eine Komponente enthalten, die eine oder mehrere Schwachstellen aufweist.
Müssen Unternehmen deshalb auf den Einsatz von Open-Source-Komponenten verzichten? Nein – und sie können es auch gar nicht, denn sonst explodieren Entwicklungskosten und -zeiten Stattdessen sollten sie sich um mehr Transparenz bemühen: Welche Komponenten setzen wir ein? Sind diese auf dem neuesten Stand? Existieren in den Komponenten bekannte Schwachstellen? Antworten auf diese Fragen müssen bekannt sein, wenn ein Höchstmaß an Sicherheit gewährleistet werden soll.
Fazit
Unternehmen müssen sich mit der Realität abfinden, dass weder Open Source noch Closed Source uneingeschränkt sicher sind. Pragmatisches Denken ist gefragt – im Falle von Drittanbieter-Komponenten sollten IT-Verantwortliche etwa drei zentrale Fragen stets beantworten können: Welche Komponenten setzen wir ein? Sind diese auf dem neuesten Stand? Existieren in den Komponenten bekannte Schwachstellen? Nur wenn diese Informationen verfügbar sind, kann ein Höchstmaß an Sicherheit gewährleistet werden. Entsprechende Tools helfen dabei, sie zusammenzutragen und auszuwerten.
Ob Closed Source oder Open Source, ist zweitrangig – auch wenn die Anhänger der einzelnen Lager gerne das Gegenteil behaupten. Letztlich muss im Einzelfall überprüft werden, ob einer Anwendung oder Komponente vertraut werden kann. Die Statistik lügt nicht: Der Schlüssel zu mehr Sicherheit liegt nicht im Lizenzmodell.
Julian Totzek-Hallhuber ist Solution Architect bei Veracode
- Open Source vs. Closed Source - eine Frage der Sicherheit?
- Sicherheit: Die Statistik lügt nicht
Lesen Sie mehr zum Thema
