Teil II: Ein Blick auf die möglichen Risiken
Im zweiten Teil unserer Blogreihe zur Resilienz von Open-Source gehen wir auf die Risikofaktoren ein und ziehen ein Fazit aus den Erkenntnissen beider Blogbeiträge.
Trügerische Sicherheitsvorteile
Spätestens seit dem Heartbleed-Hack in 2014 ist allen klar, dass die Verfügbarkeit von Software als Open-Source allein keinen Sicherheitsgewinn bringt. Der Heartbleed-Hack war ein schwerwiegender Sicherheitsfehler in der OpenSSL-Bibliothek, einer weit verbreiteten Software für die Implementierung von Transport Layer Security (TLS) und Secure Sockets Layer (SSL) Protokollen. Diese Protokolle sind entscheidend für die Verschlüsselung und sichere Übertragung von Daten im Internet. Der Kryptologe und Sicherheitsexperte Bruce Schneier beschreibt die Tragweite des Heartbleed-Bugs als: “Catastrophic is the right word. On the scale of 1 to 10, this is an 11.” Insbesondere viele Nutzer:innen haben sich auf die Sicherheit eines Open-Source-Projektes verlassen. Man geht davon aus, dass ca. 66% aller Webserver weltweit OpenSSL als Sicherheitsbibliothek verwendeten. Die OpenSSL-Bibliothek wurde zu der Zeit aber nur von zwei Teilzeitentwicklern betreut.
An dieser Stelle möchte ich gerne erwähnen, dass auch proprietäre Software nicht frei von Fehlern ist, wie uns beispielsweise der Crowdstrike-Computerausfall deutlich gezeigt hat. Diese weltweit auftretende Betriebsstörung von Rechnersystemen am 19. Juli 2024 wurde durch eine fehlgeschlagene Softwareaktualisierung des Cybersicherheitsanbieters (einem der weltweit größten) Crowdstrike verursacht. Expert:innen stuften die Computerausfälle wegen ihres globalen Ausmaßes als beispiellos ein. Auch das BSI, das zu dem Zeitpunkt die Bedrohungslage mit Stufe 3/Orange von vier Stufen einschätzte, schrieb: „Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs“. Dabei waren auch viele Betreiber kritischer Infrastruktur betroffen, wie zum Beispiel Energieversorger, Transport- und Verkehrsunternehmen, die öffentliche Verwaltung und Krankenhäuser.
Beispiele für resiliente Open-Source-Projekte
Es gibt zahlreiche Beispiele für erfolgreiche und resiliente Open-Source-Projekte, die in kritischen Umgebungen eingesetzt werden:
- Linux: Als eines der bekanntesten Open-Source-Projekte treibt Linux Server, Supercomputer und sogar mobile Geräte wie Android an. Seine Robustheit und Anpassungsfähigkeit machen es zu einer bevorzugten Wahl für viele Unternehmen.
- Apache Web Server: Der Apache HTTP Server ist ein weiteres Beispiel für ein äußerst zuverlässiges und weit verbreitetes Open-Source-Projekt, das Millionen von Websites weltweit unterstützt.
- Kubernetes: Dieses Open-Source-Container-Orchestrierungssystem hat sich als äußerst widerstandsfähig und flexibel erwiesen und wird von vielen großen Unternehmen zur Verwaltung ihrer Container-Infrastrukturen verwendet.
- OpenSSL: Die weit verbreitete Open-Source-Softwarebibliothek wurde für die Implementierung von Sicherheitsprotokollen wie SSL (Secure Sockets Layer) und TLS (Transport Layer Security) entwickelt. Sie ermöglicht die sichere Übertragung von Daten über Netzwerke und ist ein wesentlicher Bestandteil der Internet-Sicherheit. OpenSSL bietet eine Vielzahl von Funktionen, darunter die Verschlüsselung von Daten, die Erstellung von digitalen Zertifikaten und die Unterstützung verschiedener kryptografischer Algorithmen. Aufgrund ihrer Flexibilität und Leistungsfähigkeit wird OpenSSL in vielen Anwendungen und Webservern eingesetzt.
Open-Source-Software als robuste und zukunftssichere Wahl
Die Resilienz von Open-Source-Software ergibt sich aus der gemeinschaftlich getriebenen Entwicklung, der Transparenz, der Anpassungsfähigkeit und der Unabhängigkeit. Diese Eigenschaften machen Open-Source-Software zu einer robusten und zukunftssicheren Wahl für Unternehmen und Organisationen, die auf zuverlässige und anpassungsfähige Lösungen angewiesen sind. In einer Welt, die ständig im Wandel ist, bietet die Resilienz von Open-Source-Software einen entscheidenden Vorteil, um den Herausforderungen der heutigen und zukünftigen technologischen Landschaft zu begegnen.
Gleichzeitig ist zu beachten, dass die kontinuierliche Pflege und Weiterentwicklung für die Sicherheit dieser essentiell sind. Die Pflege und Kosten von Open-Source-Software sind wichtige Aspekte, die sowohl für Entwickler:innen, als auch für Unternehmen von Bedeutung sind. Obwohl diese oft kostenlos verfügbar ist, gibt es verschiedene Faktoren, die die langfristigen Kosten und den Pflegeaufwand beeinflussen können, beispielsweise Community-Engagement, Dokumentation, regelmäßige Updates, Implementierung und Anpassung sowie mögliche Schulungen. Insgesamt bietet Open-Source-Software viele Vorteile, darunter Flexibilität und Anpassungsfähigkeit. Dennoch ist es wichtig, die Pflege und die damit verbundenen Kosten sorgfältig zu berücksichtigen, um sicherzustellen, dass die gewählte Lösung den individuellen Anforderungen gerecht wird und nachhaltig ist.
Austausch von Open-Source-Software für die Öffentliche Verwaltung
Governikus entwickelt und pflegt bereits einige Open-Source-Projekte auf Plattformen wie “GitHub” und “Open CoDE”. Hier kann die öffentliche Verwaltung Open-Source-Software gemeinsam entwickeln und rechtssicher austauschen. Wir stellen beispielsweise Open-Source-Software Development Kits (SDK) für die AusweisApp, die eIDAS Middleware und seit neustem auch unseren eID-Server ID Panstar zur Verfügung. In Kürze wird auch die OSCI-Bibliothek auf OpenCoDE veröffentlicht. Governikus ermöglicht somit Diensteanbietern die Nutzung in eigenen Projekten.
Falls ein SDK für Sie und Ihre Anwendungen spannend klingt, sprechen Sie uns gerne an!