Der Vorfall um die Open-Source-Kompressionsbibliothek xz, die über Ostern große Teile des Internets zu beeinträchtigten drohte, wirft Fragen zur sicheren Nutzung von Open-Source-Software auf.
Was bringt in diesem Zusammenhang der neue Cyber Resilience Act, der Hersteller von Produkten mit digitalen Elementen zu mehr Cybersicherheit über den gesamten Produktlebenszyklus verpflichtet? Alexander Bluhm und Steffen Ullrich, genua, erklären im Gespräch mit it management, wie die Open-Source-Welt funktioniert und wie Produkte trotz möglicher Fehler sicher genutzt werden können.
Wie kann es sein, dass auch in moderner Software immer wieder Fehler auftauchen, die Anwender massiv in die Bredouille bringen können?
Alexander Bluhm: Bei digitalen oder smarten Gütern ist Software das bestimmende Element. Sie ist heutzutage meistens nicht mehr aus einer Hand. Vielmehr handelt es sich oft um eine Komposition aus Hunderten oder Tausenden von Modulen, die teilweise oder sogar größtenteils aus öffentlichen Open-Source-Bibliotheken stammen. Das ist durchaus sinnvoll. Funktionen wiederholen sich – und warum sollte man das Rad jedes Mal neu erfinden? Im Laufe mehrerer Jahrzehnte haben sich Open-Source-Bibliotheken gut gefüllt – es gibt kaum eine Funktion, die man dort nicht findet. Gerade KMU mit knappen Budgets sind bei ihrer Softwareentwicklung stark auf die Verfügbarkeit freier Open-Source-Module angewiesen.
Das ist nachvollziehbar. Und wo genau entsteht das Problem?
Alexander Bluhm: Die Herausforderung liegt darin, die Qualität der Open-Source- Module, die eventuell in eigenen Software- Projekten zum Einsatz kommen sollen, richtig zu beurteilen. Die Open-Source-Community ist keine homogene Gruppe. Oft sind es stark engagierte Menschen, die Projekte ohne finanzielles Kalkül in ihrer Freizeit vorantreiben. Viele sind echte Profis, andere starten vielleicht gerade ihre ersten Programmierversuche. Daneben gibt es auch langjährige Projekte, die von großen Firmen unterstützt werden und bei dem die Entwickler in feste Arbeitsverhältnisse übernommen wurden. Entsprechend unterschiedlich sind die Qualitätsstandards. Es ist Aufgabe desjenigen, der die Software einsetzt oder weiter vertreibt, den Unterschied zu erkennen.
Gibt es bei Open Source keine Standardprozesse um die Software zu überprüfen?
Alexander Bluhm: Nein, die Verantwortung für die Sicherheit der Open-Source-Module und deren korrekter Integration liegt bei dem Unternehmen, das sie für seine kommerzielle Software nutzt. Auf welche Weise diese Verantwortung wahrgenommen wird, hängt unter anderem von der Kompetenz der verfügbaren Fachkräfte und der bereitgestellten Zeit zur Prüfung ab, aber auch von der Bedeutung der eingesetzten Open-Source-Komponente für das Produkt.
Kürzlich sorgte eine Backdoor in der Open-Source-Bibliothek xz für Aufsehen, weil sie das gesamte Internet hätte beeinträchtigen können. Wie sehen Sie das?
Alexander Bluhm: Der Fall war extrem kritisch und hätte drastische Auswirkungen auf die Zuverlässigkeit des Internets haben können. Er zeigt die Schwachstellen eines vermeintlich unkritischen Einsatzes von Fremdsoftware und wie kleine Projekte große Auswirkungen haben können. Die xz ist auf vielen weltweit genutzten Linux-Systemen eng mit dem SSH-Zugang verbunden, wodurch ein kleiner Fehler immense Bedeutung erlangt. Über SSH werden Server administriert, einschließlich der in medizinischen und anderen smarten Geräten. Eine SSH-Hintertür, die beliebige Befehle ausführt, hätte verheerende Folgen.
Das vollständige Interview lesen Sie auf it-daily.net
In dem Interview werden folgende weitere Fragen beantwortet:
- Wie konnte ein solcher Vorfall passieren?
- Was tun Software-Hersteller und Gesetzgeber, um die Qualitätsstandards bei Software zu verbessern? Kann der kürzlich beschlossene Cyber Resilience Act (CRA) hier Positives bewirken?
- Inwieweit betreffen diese Vorgaben Open Source?
- Wie können Endkunden die Sorgfalt von Unternehmen beurteilen, um beim Kauf kein Cybersicherheitsrisiko einzugehen?
- Kann man den Einsatz von Open Source-Software auch weiterhin empfehlen?
Was bringt in diesem Zusammenhang der neue Cyber Resilience Act, der Hersteller von Produkten mit digitalen Elementen zu mehr Cybersicherheit über den gesamten Produktlebenszyklus verpflichtet? Alexander Bluhm und Steffen Ullrich, genua, erklären im Gespräch mit it management, wie die Open-Source-Welt funktioniert und wie Produkte trotz möglicher Fehler sicher genutzt werden können.
Wie kann es sein, dass auch in moderner Software immer wieder Fehler auftauchen, die Anwender massiv in die Bredouille bringen können?
Alexander Bluhm: Bei digitalen oder smarten Gütern ist Software das bestimmende Element. Sie ist heutzutage meistens nicht mehr aus einer Hand. Vielmehr handelt es sich oft um eine Komposition aus Hunderten oder Tausenden von Modulen, die teilweise oder sogar größtenteils aus öffentlichen Open-Source-Bibliotheken stammen. Das ist durchaus sinnvoll. Funktionen wiederholen sich – und warum sollte man das Rad jedes Mal neu erfinden? Im Laufe mehrerer Jahrzehnte haben sich Open-Source-Bibliotheken gut gefüllt – es gibt kaum eine Funktion, die man dort nicht findet. Gerade KMU mit knappen Budgets sind bei ihrer Softwareentwicklung stark auf die Verfügbarkeit freier Open-Source-Module angewiesen.
Das ist nachvollziehbar. Und wo genau entsteht das Problem?
Alexander Bluhm: Die Herausforderung liegt darin, die Qualität der Open-Source- Module, die eventuell in eigenen Software- Projekten zum Einsatz kommen sollen, richtig zu beurteilen. Die Open-Source-Community ist keine homogene Gruppe. Oft sind es stark engagierte Menschen, die Projekte ohne finanzielles Kalkül in ihrer Freizeit vorantreiben. Viele sind echte Profis, andere starten vielleicht gerade ihre ersten Programmierversuche. Daneben gibt es auch langjährige Projekte, die von großen Firmen unterstützt werden und bei dem die Entwickler in feste Arbeitsverhältnisse übernommen wurden. Entsprechend unterschiedlich sind die Qualitätsstandards. Es ist Aufgabe desjenigen, der die Software einsetzt oder weiter vertreibt, den Unterschied zu erkennen.
Gibt es bei Open Source keine Standardprozesse um die Software zu überprüfen?
Alexander Bluhm: Nein, die Verantwortung für die Sicherheit der Open-Source-Module und deren korrekter Integration liegt bei dem Unternehmen, das sie für seine kommerzielle Software nutzt. Auf welche Weise diese Verantwortung wahrgenommen wird, hängt unter anderem von der Kompetenz der verfügbaren Fachkräfte und der bereitgestellten Zeit zur Prüfung ab, aber auch von der Bedeutung der eingesetzten Open-Source-Komponente für das Produkt.
Kürzlich sorgte eine Backdoor in der Open-Source-Bibliothek xz für Aufsehen, weil sie das gesamte Internet hätte beeinträchtigen können. Wie sehen Sie das?
Alexander Bluhm: Der Fall war extrem kritisch und hätte drastische Auswirkungen auf die Zuverlässigkeit des Internets haben können. Er zeigt die Schwachstellen eines vermeintlich unkritischen Einsatzes von Fremdsoftware und wie kleine Projekte große Auswirkungen haben können. Die xz ist auf vielen weltweit genutzten Linux-Systemen eng mit dem SSH-Zugang verbunden, wodurch ein kleiner Fehler immense Bedeutung erlangt. Über SSH werden Server administriert, einschließlich der in medizinischen und anderen smarten Geräten. Eine SSH-Hintertür, die beliebige Befehle ausführt, hätte verheerende Folgen.
Das vollständige Interview lesen Sie auf it-daily.net
In dem Interview werden folgende weitere Fragen beantwortet:
- Wie konnte ein solcher Vorfall passieren?
- Was tun Software-Hersteller und Gesetzgeber, um die Qualitätsstandards bei Software zu verbessern? Kann der kürzlich beschlossene Cyber Resilience Act (CRA) hier Positives bewirken?
- Inwieweit betreffen diese Vorgaben Open Source?
- Wie können Endkunden die Sorgfalt von Unternehmen beurteilen, um beim Kauf kein Cybersicherheitsrisiko einzugehen?
- Kann man den Einsatz von Open Source-Software auch weiterhin empfehlen?
