Contact
QR code for the current URL

Story Box-ID: 1209447

IT Verlag für Informationstechnik GmbH Ludwig-Ganghofer-Str. 51 83624 Otterfing, Germany https://www.it-daily.net
Contact Mr Lars Becker

Cybersicherheit in der Software Supply Chain

Interview

(PresseBox) (Otterfing, )
Der Vorfall um die Open-Source-Kompressionsbibliothek xz, die über Ostern große Teile des Internets zu beeinträchtigten drohte, wirft Fragen zur sicheren Nutzung von Open-Source-Software auf.

Was bringt in diesem Zusammenhang der neue Cyber Resilience Act, der Hersteller von Produkten mit digitalen Elementen zu mehr Cybersicherheit über den gesamten Produktlebenszyklus verpflichtet? Alexander Bluhm und Steffen Ullrich, genua, erklären im Gespräch mit it management, wie die Open-Source-Welt funktioniert und wie Produkte trotz möglicher Fehler sicher genutzt werden können.

Wie kann es sein, dass auch in moderner Software immer wieder Fehler auftauchen, die Anwender massiv in die Bredouille bringen können?

Alexander Bluhm: Bei digitalen oder smarten Gütern ist Software das bestimmende Element. Sie ist heutzutage meistens nicht mehr aus einer Hand. Vielmehr handelt es sich oft um eine Komposition aus Hunderten oder Tausenden von Modulen, die teilweise oder sogar größtenteils aus öffentlichen Open-Source-Bibliotheken stammen. Das ist durchaus sinnvoll. Funktionen wiederholen sich – und warum sollte man das Rad jedes Mal neu erfinden? Im Laufe mehrerer Jahrzehnte haben sich Open-Source-Bibliotheken gut gefüllt – es gibt kaum eine Funktion, die man dort nicht findet. Gerade KMU mit knappen Budgets sind bei ihrer Softwareentwicklung stark auf die Verfügbarkeit freier Open-Source-Module angewiesen.

Das ist nachvollziehbar. Und wo genau entsteht das Problem?

Alexander Bluhm: Die Herausforderung liegt darin, die Qualität der Open-Source- Module, die eventuell in eigenen Software- Projekten zum Einsatz kommen sollen, richtig zu beurteilen. Die Open-Source-Community ist keine homogene Gruppe. Oft sind es stark engagierte Menschen, die Projekte ohne finanzielles Kalkül in ihrer Freizeit vorantreiben. Viele sind echte Profis, andere starten vielleicht gerade ihre ersten Programmierversuche. Daneben gibt es auch langjährige Projekte, die von großen Firmen unterstützt werden und bei dem die Entwickler in feste Arbeitsverhältnisse übernommen wurden. Entsprechend unterschiedlich sind die Qualitätsstandards. Es ist Aufgabe desjenigen, der die Software einsetzt oder weiter vertreibt, den Unterschied zu erkennen.

Gibt es bei Open Source keine Standardprozesse um die Software zu überprüfen?

Alexander Bluhm: Nein, die Verantwortung für die Sicherheit der Open-Source-Module und deren korrekter Integration liegt bei dem Unternehmen, das sie für seine kommerzielle Software nutzt. Auf welche Weise diese Verantwortung wahrgenommen wird, hängt unter anderem von der Kompetenz der verfügbaren Fachkräfte und der bereitgestellten Zeit zur Prüfung ab, aber auch von der Bedeutung der eingesetzten Open-Source-Komponente für das Produkt.

Kürzlich sorgte eine Backdoor in der Open-Source-Bibliothek xz für Aufsehen, weil sie das gesamte Internet hätte beeinträchtigen können. Wie sehen Sie das?

Alexander Bluhm: Der Fall war extrem kritisch und hätte drastische Auswirkungen auf die Zuverlässigkeit des Internets haben können. Er zeigt die Schwachstellen eines vermeintlich unkritischen Einsatzes von Fremdsoftware und wie kleine Projekte große Auswirkungen haben können. Die xz ist auf vielen weltweit genutzten Linux-Systemen eng mit dem SSH-Zugang verbunden, wodurch ein kleiner Fehler immense Bedeutung erlangt. Über SSH werden Server administriert, einschließlich der in medizinischen und anderen smarten Geräten. Eine SSH-Hintertür, die beliebige Befehle ausführt, hätte verheerende Folgen.

Das vollständige Interview lesen Sie auf it-daily.net

In dem Interview werden folgende weitere Fragen beantwortet:



- Wie konnte ein solcher Vorfall passieren?

- Was tun Software-Hersteller und Gesetzgeber, um die Qualitätsstandards bei Software zu verbessern? Kann der kürzlich beschlossene Cyber Resilience Act (CRA) hier Positives bewirken?

- Inwieweit betreffen diese Vorgaben Open Source?

- Wie können Endkunden die Sorgfalt von Unternehmen beurteilen, um beim Kauf kein Cybersicherheitsrisiko einzugehen?

- Kann man den Einsatz von Open Source-Software auch weiterhin empfehlen?

 

 

IT Verlag für Informationstechnik GmbH

Die it verlag für Informationstechnik GmbH publiziert das Magazin it management mit dem Supplement it security. Im Online-Bereich stehen mit der News-Portal www.it-daily.net und diversen Newslettern wertvolle Informationsquellen für IT Professionals zur Verfügung. Mit eBooks, Whitepapern und Konferenzen zu Themen der Enterprise IT rundet der Verlag sein Angebot zu News aus der IT-Welt ab.

www.it-daily.net

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.