Bereits seit den frühen 1980er Jahren existiert das Konzept der Open-Source-Software. Seine Anfänge nahm es in der Zusammenarbeit von Wissenschaft und Wirtschaft mit dem Ziel, den neuen Herausforderungen mit speziell entwickelten Software-Lösungen zu begegnen. Als in den 1990er Jahren technische Innovationen auch von einer breiteren Masse in der Gesellschaft angenommen wurden, stieg das Interesse an der Weiterentwicklung des "offenen" Ansatzes und immer mehr Nutzer erkannten den Mehrwert solcher Lösungen für sich. Schließlich gab es hier nicht nur den Vorteil, eine Community hinter sich zu haben - Open Source spart bares Geld. Auch für Firmennetzwerke bringt es Vorteile: Lösungen werden flexibler und Unternehmen können ergänzende Anwendungen und Dienstleistungen leichter in ihre IT-Umgebungen integrieren, um auf neue Geschäftsanforderungen zu reagieren und die Möglichkeiten für ihre Nutzer zu erweitern.
Foto: fotolia.com/XtravaganT
Gerade bei Sicherheitslösungen wirkt das Prinzip Open Source für viele jedoch abschreckend. Offener Quellcode? Von betriebseigener Sicherheitssoftware? Das öffnet dem Missbrauch ja quasi Tür und Tor - so die Sorge viele IT-Entscheider. Dass eigentlich aber genau das Gegenteil der Fall ist, wird oftmals übersehen. Dabei gibt es vor allem einen wesentlichen Aspekt, der Open Source-Lösungen ganz besonders im Sicherheitsbereich interessant macht: nämlich den der Intelligenz der Massen.
Bastelt ein Unternehmen an einer proprietären betriebseigenen Sicherheitssoftware, sind daran in der Regel zwischen einem und zehn Programmierer beteiligt. Diese sind dafür zuständig, die Software an die Bedürfnisse des Unternehmens anzupassen und fortlaufend auf etwaige Schwachstellen zu überprüfen. Was im ersten Augenblick als wunderbarer Ansatz scheint, bildet auf den zweiten jedoch ein enormes Sicherheitsrisiko. Denn was hierbei oftmals vergessen wird, ist der Faktor der menschlichen Psychologie.
Community - die objektive Instanz
Dadurch, dass sich die Entwickler tagaus, tagein mit der Lösung beschäftigen - und außer ihnen niemand sonst den Quellcode auf Schwachstellen überprüfen kann- steigt die Wahrscheinlichkeit zunehmend, dass diese irgendwann betriebsblind werden. Jeder kennt das - setzt man sich lange Zeit mit nur einem Thema auseinander, ist man irgendwann so tief in der Materie, dass einem die grundlegendsten Dinge nicht mehr auffallen. Auch beim Thema Software-Entwicklung ist das nicht anders. Was Unternehmen fehlt, ist eine objektive Instanz, die hin und wieder überprüft, ob das, was softwaremäßig im Einsatz ist, tatsächlich jeglichen kritischen Untersuchungen standhält.
- Crowdsourcing - gewusst wie
Wahid Rahim, Chef der Crowdsourcing-Plattform Ranksider.de, sagt, was man beachten muss, damit die Auslagerung von einzelnen Aufgaben an eine Masse von Nutzern funktioniert. - Klare Zieldefinition
Was soll mit dem Projekt erreicht werden? Welches Problem soll gelöst werden? Jeder muss sein Ziel für sich selbst und für die Community klar definieren. - Die richtige Crowd-Community auswählen
Abhängig von seinen eigenen Zielen, sollte man die richtige Community bzw. die richtige Plattform für sein Projekt auswählen. Nur so lässt sich das bestmögliche Ergebnis erzielen. - Respekt vor der Community
Damit ein Projekt erfolgreich wird, sollte man die Community als Partner betrachten und auch so behandeln. Machen Sie der Community klar, dass deren Input für Sie und für Ihr Unternehmen enorm wichtig ist. Definieren Sie faire Rahmenbedingungen und motivieren Sie die Community. - Verbreiten Sie Ihre Kampagnen
Nutzen Sie Ihre sozialen Kontakte, um Ihre Kampagne zu verbreiten. Dadurch gewinnen Sie mehr Teilnehmer und zeigen auch, dass Sie voll und ganz hinter Ihrer Crowdsourcing-Kampagne stehen. - Klären Sie die Rechtslage
Klären Sie im Voraus, dass bei einer Kampagne die Rechte Dritter nicht verletzt werden und dass Sie eventuell erforderliche Rechte am geistigen Eigentum übertragen bekommen
Und genau das kann Open Source leisten. Der Community-Gedanke von Open-Source-Ansätzen garantiert, dass es eine Menge Experten gibt - Entwickler, Studenten, Freiwillige - die es ich zur Aufgabe machen, vorhandenen offen Quellcode so akribisch wie möglich zu durchleuchten, um etwaige Sollbruchstellen zu füllen. Die Motivation dieser Leute ist dabei unterschiedlich. Die einen machen es aus persönlichem Interesse. Andere testen daran ihr akademisches Wissen. Und wieder andere haben einfach den Idealismus, dank eigenen Spürsinns die Community vor fehlerhaftem Quellcode zu bewahren.
Doch egal, was die Motivation auch sein mag. Tatsache ist, dass es hier eben nicht mehr nur die immer gleichen fünf Augenpaare sind, die etwaigen Unternehmensquellcode auf Mängel untersuchen. Vielmehr sind es mitunter Tausende Augenpaare, die es sich zur Aufgabe machen, denn unternehmenseigenen Quellcode so rein wie möglich zu halten. Die Wahrscheinlichkeit, dass Sicherheitslücken so schnell gesehen und behoben werden, steigert sich dadurch ins Unermessliche.
Natürlich kann es immer schwarze Schafe geben, die die Offenheit von Quellcode ausnutzen, um gezielt Sicherheitsbedrohungen einzubauen. Diesen stehen jedoch Tausende an weißen Schafen gegenüber, von denen diese Mängel mindestens einem über kurz oder lang garantiert auffallen werden. Eben, weil der Quellcode von der Community unter permanenter Beobachtung steht.
Für derartig hochfrequentierte Reviews der eigenen Software von externen Experten müssten Unternehmen bei proprietären Lösungen in der Regel sehr tief in die Tasche greifen. Was die meisten aus diesem Grund natürlich nicht machen.
Schnelle Aufdeckung komplexer Bedrohungen
Gerade in Zeiten, in denen die Internetsicherheit immer mehr an Bedeutung gewinnt, ist Open Source also ein grundlegender Ansatz für die Lösung komplexer Probleme. Heute erschüttern Angreifer und andere bösartige Eindringlinge zunehmend das Vertrauen der Kunden, die Produkten daher skeptisch gegenüberstehen und deren Vertrauenswürdigkeit in Frage stellen. Auch deshalb wird Open Source immer wichtiger.
Moderne Unternehmensnetzwerke werden jenseits der traditionellen Perimeter um Rechenzentren, Endpunkte, virtuelle und mobile Lösungen erweitert. Diese Netzwerke und ihre Komponenten werden ständig weiterentwickelt und erzeugen neue Angriffsvektoren wie etwa mobile Geräte, webfähige und mobile Anwendungen, Hypervisors, Social Media, Web-Browser und heimische PCs. Angreifer nutzen die Sicherheitslücken, um ihre Mission zu erfüllen. Sie geben sich große Mühe, unentdeckt zu bleiben, indem sie Technologien und Methoden nutzen, die es nahezu unmöglich machen, Hinweise auf ein Eindringen zu finden.
- Jeder weiß selbst am besten, welche Gefahren konkret drohen
Oft wird über Gefahren gesprochen, als wären sie universell. Das ist in Ordnung, wenn es um weltweite Trends geht, eignet sich aber nicht, um auf konkrete Unternehmen einzugehen. Unternehmensgröße, Branche und der Wert, den Informationen für das Unternehmen haben, sind nur einige der Faktoren, die etwas über etwaige Gefährdungen aussagen. Die internen Sicherheitsverantwortlichen wissen am besten, welche Angriffe am wahrscheinlichsten sind und sollten ihrer Expertise trauen, anstatt sich ausschließlich auf den Anti-Malware-Anbieter zu verlassen. - Sicherheit und Big Data sind direkt vernetzt
Lange haben Sicherheitsanbieter geflissentlich Daten über Angriffe gesammelt, analysiert und entsprechende Verteidigungsmechanismen entwickelt. Während sich die Vorgehensweise als solche nicht sehr geändert hat, ist die Datenmenge exorbitant angestiegen – jedes Jahr werden Millionen neue Gefahren entdeckt, gegen die sich Unternehmen tagtäglich schützen müssen. Gleichzeitig sind die meisten davon sehr kurzlebig, so dass die erste Entdeckung oftmals auch gleich das letzte Mal ist, dass sie gesehen werden. Ein Ende dieses Datenwachstums ist nicht in Sicht. - Das Zusammenspiel von Systemen ist Pflicht
Neue Gefahren werden mit neuen Technologien bekämpft – die sehr oft nur unabhängig von anderen funktionieren und nicht kompatibel sind. Erkennt also eine Technologie eine Gefahr, dann wird sie blockiert – allerdings nur auf Systemen, die diese Technologie nutzen. So gehen sehr viele Kontextinformationen verloren, die gerade in Zeiten komplexer Sicherheitsbedrohungen wichtig für einen möglichst umfassenden Schutz sind. Collaboration ist demnach Pflicht, integrierte Systeme sind erfolgreicher als unabhängige. - Aus dem einen Endpunkt sind viele Endpunkte geworden
Traditionelle Anbieter von Anti-Malware-Lösungen haben sich oft auf „den einen Endpunkt“ konzentriert. Im Kampf gegen Advanced Malware werden allerdings ganzheitlichere Konzepte gebraucht. Angriffsziele sind über das gesamte Unternehmen verstreut – denn was hilft es, wenn klar ist, welcher Endpunkt angegriffen wird, aber nicht, welche Auswirkungen das auf andere Komponenten hat? Sicherheitsverantwortliche brauchen eine umfassendere Perspektive, um effektiv gegen Advanced Malware vorzugehen. - Es reicht nicht mehr, Angriffe nur zu entdecken
Häufig haben die Sicherheitsverantwortlichen keinen ausreichenden Überblick über aktuelle Angriffe. Zudem fällt es ihnen oft schwer, die Kontrolle über die Systeme nach einer Attacke zurückzugewinnen. Obwohl es wohl nie eine 100-prozentige Absicherung geben wird, sollten Unternehmen und Anbieter dennoch kontinuierlich in die Entwicklung neuer Technologien investieren – und zwar nicht nur, um Gefahren schnell zu entdecken, sondern auch, um sie zu bekämpfen, zu analysieren und zu kontrollieren. <br /><br /><em>(Tipps zusammengestellt von Volker Marschner, Security Consultant bei Sourcefire/Cisco)</em>
Wer in IT-Abteilungen die Verantwortung für den Schutz der Unternehmensdaten trägt, kann Open Source als sinnvolles Werkzeug einsetzen, um Sicherheitslücken zu schließen und mehr Informationen über potenzielle Bedrohungen zu sammeln. Speziell in zwei Bereichen ist der Einsatz von Open Source sinnvoll, um besser Entscheidungen treffen zu können und spezifische Maßnahmen zu ergreifen. Sicherheitslücken schließen
Oberstes Ziel von IT-Abteilungen in Unternehmen ist es, die Angriffsfläche für schädliche Eindringlinge zu reduzieren und sich dadurch vor aktuellen und hoch entwickelten Bedrohungen zu schützen. Daher ist es wenig hilfreich, auf Updates von Herstellern zu warten, um Sicherheitslücken zu schließen, wenn wichtige Assets auf dem Spiel stehen und die Angriffe einen großen Schaden verursachen können. Gerade für Unternehmen, die ihre eigenen Anwendungen entwickeln, ist es noch schwieriger, diese zu überwachen und zu schützen. Ein Open Source-Ansatz hilft ihnen, Sicherheitslücken schneller zu beheben, indem sie Schutzmaßnahmen ebenso selbst entwickeln oder Best Practice-Tools einsetzen können.
Intelligentere Lösungen
Um mit dynamischen Umgebungen umzugehen, brauchen Unternehmen Zugang zu einer möglichst umfassenden globalen Wissensbasis. So können sie Schwachstellen identifizieren und sofort handeln. Eine offene Architektur erleichtert somit den Austausch von Echtzeit-Bedrohungsanalysen und Schutzmaßnahmen innerhalb einer großen Gemeinschaft, von denen letztendlich alle profitieren. Zudem lassen sich so auch Sicherheitsmaßnahmen verschiedener Layer aufeinander abstimmen, die parallel zur IT-Umgebung angepasst und erweitert werden.
Im Technologiebereich kann Open Source auf eine lange und traditionsreiche Erfolgsgeschichte zurückblicken. Basierend auf den Grundsätzen von Gemeinschaft, Zusammenarbeit und Vertrauen ist Open Source auch im Bereich Unternehmenssicherheit ein Ansatz, der effektive Lösungen liefert, sich mit komplexen Problemen befasst und gleichzeitig dafür sorgt, dass eine Armada an Experten tagtäglich die eigenen Lösungen auf etwaige Schwachstellen überprüft. Und welcher proprietärer Anbieter kann das bitte schon leisten? (sh)