Sicherheit von Open-Source-Software
Offenheit als Chance und Risiko
Fortsetzung des Artikels von Teil 1
Risiken kostenloser Open-Source-Software
Doch es gibt auch eine Kehrseite der Medaille. Auch Open-Source-Software kann kritische Fehler enthalten – insbesondere wenn sie bereits einen hohen Reifegrad erreicht hat und vergleichsweise nur noch wenige Entwickler daran weiterarbeiten. (Denn dann haben Angreifer leichtes Spiel dabei, sich in Projekte einzuschleichen und diese zu kompromittieren, was auch schon vorgekommen ist. Zudem besteht das Risiko, dass Angreifer Open-Source-Repositories hacken, um auf diesem Weg Supply-Chain-Angriffe zu starten, d.Red.)
Eine weitere Herausforderung kann das Konfigurations-Management darstellen. Open Source ist schnell beschafft – einfach heruntergeladen und installiert. So können IT-Landschaften mit vielen Modulen entstehen, die eine IT-Abteilung nur mit großem Aufwand überblicken und warten kann. Hier lauern neben den technischen auch organisatorische und rechtliche Herausforderungen.
Laut der Bitkom-Umfrage fehlen den meisten Unternehmen Open-Source-Experten und -Schulungsangebote. Auch die unklare Gewährleistungssituation empfinden viele als Hindernis. Bei den kostenlosen Open-Source-Lösungen sind Anwender auf sich allein gestellt, haben keinen Vertragspartner, der die Funktionalität garantiert, und erhalten keinen Support. Sie müssen selbst die Verantwortung für die Sicherheit der Anwendung übernehmen und immer über aktuelle Änderungen informiert sein. Dabei kann die hohe Agilität in der Community – eigentlich ein Vorteil – schnell zum Fluch werden. Denn kontinuierlich gilt es, Updates und Patches herunterzuladen, zu testen und einzuspielen. Das verursacht nicht nur enormen Aufwand, sondern erfordert auch spezialisiertes Know-how. In Zeiten des Fachkräftemangels stoßen viele IT-Abteilungen hier an ihre Grenzen. Niemand kann es sich jedoch erlauben, nachlässig zu sein. Denn sonst bleiben Sicherheitslücken offen oder die Systeme laufen nicht stabil.
Welche Konsequenzen dies haben kann, musste ein großer amerikanischer Telekommunikationsanbieter erfahren. Er hatte seinen Kunden die kostenlose Version einer Open-Source-Security-Software als kostenpflichtige Leistung bereitgestellt. Da das Unternehmen aber selbst nicht in der Open-Source-Community aktiv war und das Produkt nicht lizenziert hatte, entging ihm eine wichtige technische Änderung. Infolgedessen war die Funktionalität eingeschränkt – sehr zum Ärger der Kunden.
Wer kostenlose OSS einsetzt, sollte sich also über den Aufwand und die Pflichten im Klaren sein, die damit einhergehen. Das ist nur für Unternehmen empfehlenswert, die selbst über große Expertise im Open-Source-Bereich verfügen und ausreichend Personal dafür bereitstellen können. Alle anderen sollten lieber auf kommerzielle Versionen setzen, um Risiken zu mindern. Häufig handelt es sich dabei um Distributionen, die für den Einsatz im Unternehmensumfeld optimiert sind. Diese lassen sich einfach installieren und laufen stabil. Außerdem erhalten Kunden Gewährleistung, Support, Updates und Patches – genau wie bei proprietärer Software. Dadurch sparen sie Aufwand und gewinnen Sicherheit. Oft bieten kommerzielle OSS-Versionen zudem einen größeren Funktionsumfang, der gerade im Unternehmensumfeld interessant ist.
Fazit: Sicher, wenn richtig verwaltet
Open Source bietet im Vergleich zu proprietärer Software zahlreiche Vorteile. Aufgrund ihrer Transparenz ist sie in vielerlei Hinsicht sogar sicherer. Risiken entstehen, wenn Unternehmen keine Open-Source-Experten für das IT-Management haben, auf Support verzichten und Updates nicht zeitnah einspielen. Daher empfiehlt es sich, im professionellen Umfeld auf kommerzielle Open-Source-Varianten zu setzen. Sie punkten nicht nur mit vereinfachtem Management, Gewährleistung und Support, sondern bieten häufig zusätzlichen Funktionen und Services, die Mehrwert bringen. Eines sollte man aber nicht vergessen: Hundertprozentige Sicherheit kann es nie geben – das gilt für OSS ebenso wie für proprietäre Software. Unternehmen sollten stets geeignete Security-Maßnahmen ergreifen, denn Sicherheitslücken können immer einmal auftauchen. Entscheidend ist, sie frühzeitig zu erkennen und schnell zu schließen. Dafür spielen regelmäßige Schwachstellenscans eine wichtige Rolle.
Elmar Geese ist COO bei Greenbone Networks.
- Offenheit als Chance und Risiko
- Risiken kostenloser Open-Source-Software
Lesen Sie mehr zum Thema
