Schwarmintelligenz

Mehr Sicherheit dank Open Source

Volker Marschner ist Security Consultant bei Sourcefire (Cisco). Nach dem Motto "Man muss das Rad nicht immer neu erfinden" zieht er bevorzugt Parallelen zwischen der digitalen und der meist nicht weit entfernten realen Welt.
Je mehr Experten an Systemen und Programmen mitarbeiten, desto größer ist die Chance, dass potenzielle Schwachstellen zeitig erkannt und beseitigt werden. Anwender sollten in ihrer IT-Security-Strategie deshalb vermehrt auf Open Source setzen.

Bereits seit den frühen 1980er Jahren existiert das Konzept der Open-Source-Software. Seine Anfänge nahm es in der Zusammenarbeit von Wissenschaft und Wirtschaft mit dem Ziel, den neuen Herausforderungen mit speziell entwickelten Software-Lösungen zu begegnen. Als in den 1990er Jahren technische Innovationen auch von einer breiteren Masse in der Gesellschaft angenommen wurden, stieg das Interesse an der Weiterentwicklung des "offenen" Ansatzes und immer mehr Nutzer erkannten den Mehrwert solcher Lösungen für sich. Schließlich gab es hier nicht nur den Vorteil, eine Community hinter sich zu haben - Open Source spart bares Geld. Auch für Firmennetzwerke bringt es Vorteile: Lösungen werden flexibler und Unternehmen können ergänzende Anwendungen und Dienstleistungen leichter in ihre IT-Umgebungen integrieren, um auf neue Geschäftsanforderungen zu reagieren und die Möglichkeiten für ihre Nutzer zu erweitern.

Open Source ist gerade aus der Security-Perspektive heraus ein wertvolles Credo.
Open Source ist gerade aus der Security-Perspektive heraus ein wertvolles Credo.
Foto: fotolia.com/XtravaganT

Gerade bei Sicherheitslösungen wirkt das Prinzip Open Source für viele jedoch abschreckend. Offener Quellcode? Von betriebseigener Sicherheitssoftware? Das öffnet dem Missbrauch ja quasi Tür und Tor - so die Sorge viele IT-Entscheider. Dass eigentlich aber genau das Gegenteil der Fall ist, wird oftmals übersehen. Dabei gibt es vor allem einen wesentlichen Aspekt, der Open Source-Lösungen ganz besonders im Sicherheitsbereich interessant macht: nämlich den der Intelligenz der Massen.

Bastelt ein Unternehmen an einer proprietären betriebseigenen Sicherheitssoftware, sind daran in der Regel zwischen einem und zehn Programmierer beteiligt. Diese sind dafür zuständig, die Software an die Bedürfnisse des Unternehmens anzupassen und fortlaufend auf etwaige Schwachstellen zu überprüfen. Was im ersten Augenblick als wunderbarer Ansatz scheint, bildet auf den zweiten jedoch ein enormes Sicherheitsrisiko. Denn was hierbei oftmals vergessen wird, ist der Faktor der menschlichen Psychologie.

Community - die objektive Instanz

Dadurch, dass sich die Entwickler tagaus, tagein mit der Lösung beschäftigen - und außer ihnen niemand sonst den Quellcode auf Schwachstellen überprüfen kann- steigt die Wahrscheinlichkeit zunehmend, dass diese irgendwann betriebsblind werden. Jeder kennt das - setzt man sich lange Zeit mit nur einem Thema auseinander, ist man irgendwann so tief in der Materie, dass einem die grundlegendsten Dinge nicht mehr auffallen. Auch beim Thema Software-Entwicklung ist das nicht anders. Was Unternehmen fehlt, ist eine objektive Instanz, die hin und wieder überprüft, ob das, was softwaremäßig im Einsatz ist, tatsächlich jeglichen kritischen Untersuchungen standhält.

Und genau das kann Open Source leisten. Der Community-Gedanke von Open-Source-Ansätzen garantiert, dass es eine Menge Experten gibt - Entwickler, Studenten, Freiwillige - die es ich zur Aufgabe machen, vorhandenen offen Quellcode so akribisch wie möglich zu durchleuchten, um etwaige Sollbruchstellen zu füllen. Die Motivation dieser Leute ist dabei unterschiedlich. Die einen machen es aus persönlichem Interesse. Andere testen daran ihr akademisches Wissen. Und wieder andere haben einfach den Idealismus, dank eigenen Spürsinns die Community vor fehlerhaftem Quellcode zu bewahren.

Doch egal, was die Motivation auch sein mag. Tatsache ist, dass es hier eben nicht mehr nur die immer gleichen fünf Augenpaare sind, die etwaigen Unternehmensquellcode auf Mängel untersuchen. Vielmehr sind es mitunter Tausende Augenpaare, die es sich zur Aufgabe machen, denn unternehmenseigenen Quellcode so rein wie möglich zu halten. Die Wahrscheinlichkeit, dass Sicherheitslücken so schnell gesehen und behoben werden, steigert sich dadurch ins Unermessliche.

Natürlich kann es immer schwarze Schafe geben, die die Offenheit von Quellcode ausnutzen, um gezielt Sicherheitsbedrohungen einzubauen. Diesen stehen jedoch Tausende an weißen Schafen gegenüber, von denen diese Mängel mindestens einem über kurz oder lang garantiert auffallen werden. Eben, weil der Quellcode von der Community unter permanenter Beobachtung steht.

Für derartig hochfrequentierte Reviews der eigenen Software von externen Experten müssten Unternehmen bei proprietären Lösungen in der Regel sehr tief in die Tasche greifen. Was die meisten aus diesem Grund natürlich nicht machen.

Schnelle Aufdeckung komplexer Bedrohungen

Gerade in Zeiten, in denen die Internetsicherheit immer mehr an Bedeutung gewinnt, ist Open Source also ein grundlegender Ansatz für die Lösung komplexer Probleme. Heute erschüttern Angreifer und andere bösartige Eindringlinge zunehmend das Vertrauen der Kunden, die Produkten daher skeptisch gegenüberstehen und deren Vertrauenswürdigkeit in Frage stellen. Auch deshalb wird Open Source immer wichtiger.

Moderne Unternehmensnetzwerke werden jenseits der traditionellen Perimeter um Rechenzentren, Endpunkte, virtuelle und mobile Lösungen erweitert. Diese Netzwerke und ihre Komponenten werden ständig weiterentwickelt und erzeugen neue Angriffsvektoren wie etwa mobile Geräte, webfähige und mobile Anwendungen, Hypervisors, Social Media, Web-Browser und heimische PCs. Angreifer nutzen die Sicherheitslücken, um ihre Mission zu erfüllen. Sie geben sich große Mühe, unentdeckt zu bleiben, indem sie Technologien und Methoden nutzen, die es nahezu unmöglich machen, Hinweise auf ein Eindringen zu finden.

Wer in IT-Abteilungen die Verantwortung für den Schutz der Unternehmensdaten trägt, kann Open Source als sinnvolles Werkzeug einsetzen, um Sicherheitslücken zu schließen und mehr Informationen über potenzielle Bedrohungen zu sammeln. Speziell in zwei Bereichen ist der Einsatz von Open Source sinnvoll, um besser Entscheidungen treffen zu können und spezifische Maßnahmen zu ergreifen. Sicherheitslücken schließen

Oberstes Ziel von IT-Abteilungen in Unternehmen ist es, die Angriffsfläche für schädliche Eindringlinge zu reduzieren und sich dadurch vor aktuellen und hoch entwickelten Bedrohungen zu schützen. Daher ist es wenig hilfreich, auf Updates von Herstellern zu warten, um Sicherheitslücken zu schließen, wenn wichtige Assets auf dem Spiel stehen und die Angriffe einen großen Schaden verursachen können. Gerade für Unternehmen, die ihre eigenen Anwendungen entwickeln, ist es noch schwieriger, diese zu überwachen und zu schützen. Ein Open Source-Ansatz hilft ihnen, Sicherheitslücken schneller zu beheben, indem sie Schutzmaßnahmen ebenso selbst entwickeln oder Best Practice-Tools einsetzen können.

Intelligentere Lösungen

Um mit dynamischen Umgebungen umzugehen, brauchen Unternehmen Zugang zu einer möglichst umfassenden globalen Wissensbasis. So können sie Schwachstellen identifizieren und sofort handeln. Eine offene Architektur erleichtert somit den Austausch von Echtzeit-Bedrohungsanalysen und Schutzmaßnahmen innerhalb einer großen Gemeinschaft, von denen letztendlich alle profitieren. Zudem lassen sich so auch Sicherheitsmaßnahmen verschiedener Layer aufeinander abstimmen, die parallel zur IT-Umgebung angepasst und erweitert werden.

Im Technologiebereich kann Open Source auf eine lange und traditionsreiche Erfolgsgeschichte zurückblicken. Basierend auf den Grundsätzen von Gemeinschaft, Zusammenarbeit und Vertrauen ist Open Source auch im Bereich Unternehmenssicherheit ein Ansatz, der effektive Lösungen liefert, sich mit komplexen Problemen befasst und gleichzeitig dafür sorgt, dass eine Armada an Experten tagtäglich die eigenen Lösungen auf etwaige Schwachstellen überprüft. Und welcher proprietärer Anbieter kann das bitte schon leisten? (sh)