Einsatzmöglichkeiten und Risiken von Open Source Software – Diese 6 Aspekte sollten Sie bei der Nutzung beachten!
von Svenja Koch
Gerade für bestimmte Funktionen abseits der zentralen Systeme greifen Unternehmen gerne auf Open Source Software (OSS) zurück. Der Einsatz solcher Software hat jedoch nicht nur Vorteile. Wann die Gefahr von Cyberangriffen besteht, die auf die Nutzung von Open Source Software zurückzuführen ist, ist nur ein Aspekt, der in diesem Blogbeitrag beleuchtet wird.
Was ist Open Source Software?
OSS sind Programme, bei denen der Hersteller den Quellcode veröffentlicht hat. Jeder hat also die Möglichkeit, diesen Code einzusehen. Dies öffnet auch den Weg für Veränderungen am Quellcode, was bei Open Source Software ausdrücklich erwünscht ist. Die Nutzer selbst sind häufig treibende Kräfte bei der Weiterentwicklung dieser Art von Software. Zu den Regeln gehört es weiterhin, dass Veränderungen und Weiterentwicklungen ebenfalls unter die Open Source Lizenz fallen. Somit sind auch diese Anpassungen frei nutzbar und der Code muss öffentlich zugänglich sein.
Darüber hinaus ist OSS in der Regel kostenlos und lässt sich uneingeschränkt im Unternehmen verwenden. Es gibt keine Nutzungsbeschränkungen bei dieser Form von Software. Dementsprechend sind das Kopieren, Verbreiten und die Nutzung uneingeschränkt erlaubt. Viele bekannte Programme sind unter einer Open Source Lizenz veröffentlicht. Beispiele dafür sind die Bürosoftware Apache OpenOffice oder die Datenbanksoftware MySQL, die von Unternehmen häufig eingesetzt wird.
1. Einsatzmöglichkeiten von Open Source Software
Die Bandbreite von OSS deckt alle denkbaren Einsatzbereiche ab. Dies beginnt bei Betriebssystemen wie Linux und reicht bis hin zu Anwendungen für ganz spezifische Aufgaben, wie etwa Elasticsearch für die Einrichtung einer Suchmaschine. In einigen Aufgabenbereichen hat sich diese Form der Software etabliert. Dies ist beispielsweise bei den Webservern der Fall. Der Apache HTTP Server ist einer der am weitesten verbreiteten Webserver. LibreOffice und andere Open Source Bürosoftware ist für den Einsatz in Unternehmen prädestiniert. Für den Zugang zum Internet nutzen viele ebenfalls und teilweise unbewusst Open Source Software, beispielsweise Firefox oder Chromium. Gerade kleinere Unternehmen greifen gerne auf diese Form der Software zurück, da so keine Lizenzkosten anfallen. Dementsprechend fest verankert ist der Einsatz von OSS in vielen Unternehmen. Eine Studie im Jahr 2019 ergab, dass etwa zwei Drittel der befragten deutschen Betriebe Open Source Software nutzen.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
2. Vorteile bei dem Einsatz von Open Source Software
Es gibt einige klare Vorteile bei dem Einsatz von OSS, die gerade für Unternehmer interessant sind. Der erste und entscheidende Punkt ist die freie Nutzung. Lizenzen für Softwareprodukte sind häufig teuer, besonders, wenn ein gewerblicher Einsatz geplant ist. Dann steigen die Kosten mit der Anzahl der Installation. Außerdem fallen bei vielen gewerblichen Softwareprodukten jährliche Lizenzgebühren an. Mit Open Source Software entfallen alle diese Lizenzen und Kosten. Die Programme lassen sich beliebig oft installieren und ohne Einschränkung nutzen.
Für OSS spricht in vielen Situationen auch die hohe Qualität dieser Programme. In einigen Fällen sind diese Produkte so gut, dass sie andere, kommerzielle Softwareprodukte verdrängt haben und quasi ein Monopol besitzen. Dies ist beispielsweise bei dem Apache-Webserver der Fall und auch im Bereich der Betriebssysteme bietet Linux als Open Source Plattform alle Funktionen, die Unternehmen im Alltag benötigen.
Die großen Communitys, die hinter vielen dieser Open Source Softwareprodukte stecken, sind ein weiterer Pluspunkt. So treiben viele Entwickler den Fortschritt der Software voran. Dies sorgt einerseits für neue, hilfreiche Funktionen, die in die Software einfließen. Andererseits fallen Dank des offengelegten Quellcodes Fehler schneller auf. Die Communitys korrigieren solche Schwächen oder Fehlfunktionen häufig schnell. So überzeugen die Open Source Softwareprodukte durch einen hohen Grad an Zuverlässigkeit und Professionalität. Teilweise übertreffen sie in diesem Punkt kommerzielle Produkte, die darauf angewiesen sind, dass die zuständigen Entwickler die notwendige Arbeit in die Verbesserung und Optimierung stecken.
3. Das IT-Sicherheitsrisiko beim Einsatz von Open Source Software
Es gibt darüber hinaus auch negative Aspekte und Risiken beim Einsatz von Open Source Plattformen. Es ist wichtig, dass sich Unternehmen über diese Punkte im Klaren sind, bevor sie die Entscheidung treffen, auf eine Open Source Infrastruktur zu vertrauen.
Einer dieser Punkte betrifft den Support. Kommerzielle Software, die für den gewerblichen Einsatz gedacht ist, hat in der Regel einen guten und direkten Support. Dieser umfasst häufig auch individuelle Hilfestellung oder gar Unterstützung bei der Entwicklung spezieller Komponenten. Bei OSS fehlt ein offizieller Support in vielen Fällen. Zwar gibt es teilweise Foren und Communitys, in denen über die Entwicklung diskutiert wird und auch Hilfestellung möglich ist, jedoch handelt es sich hier um Enthusiasten und Privatleute. In bestimmten Fällen gibt es Ausnahmen, beispielsweise bei der Linux-Distribution Red Hat. Diese basiert zwar auf Open Source, bietet aber dennoch einen professionellen Support über ein Subscription Modell.
Für den Fall, dass kein Support vorhanden ist, ist die IT-Abteilung gefragt, sich Hilfe zu diesen Plattformen zu suchen. Dies ist unter Umständen mit einem enormen Aufwand verbunden. Ähnliches gilt für die Haftung. Finden Cyberangriffe über IT-Sicherheitslücken in einer Open Source Plattform statt, gibt es für die Schäden keinerlei Haftungsübernahme seitens des Herausgebers.
4. Wissenswerte rechtliche Aspekte
Ein Blick auf die Lizenzbedingungen ist ebenfalls angebracht. Open Source bedeutet nämlich nicht, dass die Nutzer sich an keinerlei Regeln halten müssen. Im schlimmsten Fall sind Unternehmen schadensersatzpflichtig oder stehen Unterlassungsklagen gegenüber, wenn sie Nutzungsbindungen verletzen. In diesem Zusammenhang spielt besonders das Copyleft eine zentrale Rolle. Copyleft erhält seine Bezeichnung in Anlehnung an das Copyright, also den Schutz geistigen Eigentums. OSS nutzt häufig dieses Lizenzmodell. Copyleft legt fest, dass Weiterentwicklungen, Verbesserungen und anderweitige Veränderungen an der Software ebenfalls unter dieselben, grundlegenden Lizenzbedingungen fallen. Das bedeutet in der Praxis, dass Unternehmen, die über den offenen Quellcode Anpassungen an einer Open Source Software vornehmen, diese Weiterentwicklungen ebenfalls öffentlich zugänglich machen müssen. Nähere Informationen zum Copyleft im Zusammenhang mit der Nutzung von OSS finden Sie hier.
5. Gut zu wissen: Das Management der Open Source Plattformen
Ein weiterer Punkt, der bei Vernachlässigung zu einem IT-Sicherheitsrisiko werden kann, betrifft das Management der Open Source Plattformen. Im Bereich der Lizenzsoftware ist Software as a Service auch deshalb so beliebt, weil sich der Dienstleister und Anbieter der Plattform um alle Aufgaben kümmert. Dies beinhaltet die Aktualisierung der Software sowie die Kontrolle von potenziellen Cyberangriffen. Setzt ein Unternehmen jedoch OSS lokal ein, fällt alles dies in den Aufgabenbereich der eigenen IT. Dazu gehört in erster Linie die Überwachung der Aktualität der Software. Hinzukommt, dass dies bei Open Source Software für einen erhöhten Aufwand sorgt. Kommerzielle Software arbeitet meist mit einem Update-Schedule. Beispielsweise erscheint dann einmal monatlich zu einem festgelegten Termin ein Update-Paket. Dies macht es für die IT-Abteilung einfacher, Aktualisierungsprozesse zu planen. Bei OSS erscheinen Aktualisierungen häufig unregelmäßig und ohne Zeitplan. Teilweise schließen diese Updates IT-Sicherheitslücken, die Hacker für Cyberangriffe nutzen. Aus diesem Grund ist ein zeitnahes Aufspielen wichtig, ansonsten wird die Plattform zum IT-Sicherheitsrisiko.
Dies bedeutet, dass die IT-Abteilung die Entwicklung der eingesetzten OSS-Plattformen aufmerksam verfolgen muss. Dies erhöht den Arbeitsaufwand und in der Praxis zeigt sich, dass Mitarbeiter solche Aufgaben schnell vernachlässigen. Außerdem erfordert dies IT-Personal mit Erfahrung in der Verwaltung von Plattformen. Die Mitarbeiter stellen nicht nur sicher, dass die OSS-Plattform immer aktuell ist und von dieser kein IT-Sicherheitsrisiko ausgeht, sondern kontrollieren auch die Kompatibilitäten. Dies ist wichtig für die Integration von Open Source in die bestehende IT-Landschaft.
6. Offener Quellcode – Offene Tür für Schadsoftware?
Bedenken gibt es immer wieder auch bezüglich des offenen Quellcodes bei dieser Art von Software. Die Argumentation läuft darauf hinaus, dass Angreifer es leicht haben, Schadsoftware einzuschmuggeln und so Cyberangriffe zu starten.
Passend zu diesem Aspekt berichtete heise.online vor wenigen Tagen von einem Sicherheitsleck Thunderbird: Die noch recht neue OpenPGP-Implementierung des Mail-Programms speicherte die geheimen Schlüssel im Klartext auf der Festplatte des Benutzers. Dies führte dazu, dass das zum Schutz vorgesehene Master-Passwort nicht zum Einsatz kam. Angreifern wäre es damit möglich, zukünftig alle verschlüsselten Mails mitzulesen oder auch eigene Mails mit der Identität des Opfers digital zu signieren. Mehr zu diesem Sicherheitsvorfall erfahren Sie hier.
Die ausgehende Gefahr von riskanten IT-Sicherheitslücken in der Software wird dadurch reduziert, dass Open Source für transparente Strukturen sorgt, so dass Manipulationen in der Regel schnell auffallen. Dies gilt besonders für große und aktive Open Source Projekte wie etwa Firefox, die Linux-Betriebssysteme oder OpenOffice. Diese Software besitzt eine so große und aktive Community, die ebenfalls von Non-Profit-Organisation verwaltet wird, so dass kein IT-Sicherheitsrisiko von der Software selbst ausgeht.
Im Falle von Firefox steht beispielsweise die Mozilla Foundation hinter dem Browser, die Updates an der Software verwaltet, sodass Cyberangriffe über manipulierte Programmkomponenten ausgeschlossen sind.
Ein reales Szenario ist hingegen der sogenannte Dead-End-Fork-Effekt. Hiervon wird gesprochen, wenn ein Open Source Projekt von der Community verlassen wird. Bei kommerzieller Software hat der Nutzer immer die Garantie, dass Support und Funktionalität für die Dauer der Lizenz vorhanden sind. Bei Open Source Plattformen ist dies nicht unbedingt der Fall. Diese Gefahr droht vor allem bei kleineren, weniger bekannten Open Source Plattformen. Dann erscheinen keine Updates mehr, so dass durch eventuell auftretende Sicherheitslücken Cyberangriffe eine Gefahr darstellen. IT-Sicherheitsrisiken und potenzielle Cyberangriffe durch den Dead-End-Fork-Effekt lassen sich nur vermeiden, wenn das Unternehmen als Nutzer selbst das Projekt fortführt oder die Plattform sofort wechselt. Unternehmen müssen im Rahmen des Risikomanagements solche Situationen berücksichtigen und Ausweichmöglichkeiten einplanen. Ansonsten bedroht ein plötzlicher Dead-End-Fork-Effekt schlimmstenfalls die IT Security und die Handlungsfähigkeit des Unternehmens.
Fazit
Grundsätzlich spricht nichts gegen den Einsatz von Open Source Software auf Unternehmensebene. Voraussetzung sind eine Bewertung der spezifischen Software sowie eine genaue Planung und Strategie. Ansonsten wird die Plattform zum IT-Sicherheitsrisiko und begünstigt damit die Gefahr von erfolgreichen Cyberangriffen.
Um Compliance-Regeln einzuhalten ist es wichtig, die Lizenzbedingungen der einzelnen Software genau zu kennen. Ansonsten wird OSS schnell zum IT-Sicherheitsrisiko für das gesamte Unternehmen. Verletzungen von Lizenzregularien wie Copyleft führen schlimmstenfalls zu Klagen, die das Unternehmen teuer zu stehen kommen.
Die Voraussetzung für den breiteren Einsatz von OSS ist eine entsprechende Security Strategie. In diesem Zusammenhang wird eine einheitliche Vorgehensweise entwickelt, die bei der Prüfung jeder einzelnen Open Source Lösung zum Einsatz kommt. Dies beinhaltet auch die Entwicklung einer Open-Source-Compliance, die alle Risikofaktoren berücksichtigt. Teil einer solchen Strategie ist auch die Bewertung, inwiefern von der Software ein IT-Sicherheitsrisiko ausgeht oder ob die Plattform anfällig ist für Cyberangriffe.
Ohne verantwortliche Personen in der eigenen IT-Abteilung, die über entsprechendes Wissen und die Ressourcen für die Pflege von solchen Open Source Lösungen verfügen, ist es jedoch schwer, eine solche Strategie konsequent durchzusetzen. Fehlt diese Grundlage, wird OSS schnell zum IT-Sicherheitsrisiko und dient als Einfallstor für Cyberangriffe.