Webcontent-Anzeige

Open Source auch hier ein wichtiges Thema

Jahrestagung der IT-Sicherheitsbeauftragten in Nürnberg

Die Nutzung von Open-Source-Software (OSS) und die konsequente Forderung von Offenen Standards sind zentrale Bausteine für die Stärkung der Digitalen Souveränität. Dies hat die KGSt mit rund 40 Expertinnen und Experten aus Kommunen, Wirtschaft und Zivilgesellschaft in einem KGSt®-Bericht herausgestellt. Ein nur punktueller Einsatz von OSS reicht dafür jedoch nicht aus. Es braucht eine "Open-Source-Governance", die sämtliche Handlungsfelder im Zusammenhang mit dem Einsatz von OSS in den Blick nimmt: Von IT-Steuerung und -Betrieb über Vergabe und Beschaffung bis hin zu finanzwirtschaftlichen oder personellen Fragen.

 Anika Krellmann und Christian Stuffrein (Bild oben links) gaben Impulse zum Thema Open-Source-Software auf der Jahrestagung der IT-Sicherheitsbeauftragten in Nürnberg. Anika Krellmann und Christian Stuffrein (Bild oben links) gaben Impulse zum Thema Open-Source-Software auf der Jahrestagung der IT-Sicherheitsbeauftragten in Nürnberg.

Ein Feld, das beim vermehrten Einsatz von OSS ebenso beachtet werden sollte, ist die IT-Sicherheit. Anika Krellmann, KGSt-Referentin im Programmbereich Organisations- und Informationsmanagement, und Christian Stuffrein, Referent beim Deutschen Landkreis, nahmen sich dieses Themas auf der Jahrestagung der IT-Sicherheitsbeauftragten, am Rande der IT-SA in Nürnberg, gemeinsam an. Dabei gaben sie Impulse zu den Chancen von OSS, stellten die Notwendigkeit einer Open-Source-Governance heraus und diskutierten darüber, wie sich OSS und die IT-Sicherheit miteinander verhalten.

"Open Source" wurde auch in dieser Runde großgeschrieben: Gleich einige Impulse widmeten sich diesem Thema, was einmal mehr dessen Relevanz bestätigte.

OSS beschreibt Software, deren Code lizenzrechtlich offen und frei zugänglich ist. Gerade dies befeuert die Frage: Wie kann OSS sicher sein, wenn jede Person Einblick in den Code nehmen kann?

Natürlich ist ein Code, der veröffentlicht wird, im ersten Moment erst einmal "unsicherer", da Sicherheitslücken einfacher entdeckt werden können. Aber gerade durch die Veröffentlichung kann dieser von einer großen Community umfänglich getestet und Sicherheits-Reviews unterzogen werden, was ihn dann grundsätzlich sicherer macht.

So wurde beispielsweise auch ein Sicherheitsrisiko in der Corona-Warn-App nur aufgedeckt, weil der Code ab einem gewissen Zeitpunkt öffentlich war. Dieser Fehler konnte dank einer aufmerksamen Community schnell behoben werden.

Ein guter Beweis für die Sicherheit von Open-Source-Software ist auch, dass Verschlüsselungssoftware offen ist. Sogenannte White-Hat-Hacker werden daher, beispielsweise im Rahmen von Hackathons oder sogenannten Bug-Bounty-Programmen, regelmäßig einbezogen, um OSS zu prüfen und für den guten Zweck zu hacken. Bei Bug-Bounty-Programmen werden sogar Preise an die "Hacker" ausgelobt, die eine Sicherheitslücke entdecken. Der gegensätzliche Ansatz will Sicherheit durch Geheimhaltung schaffen – auch als "Security through Obscurity" bekannt.

OSS ist also nicht per se sicherer, bietet jedoch auch in diesem Kontext verschiedene strategische Vorteile. In diese Richtung äußert sich auch das BSI in seiner Empfehlung, mit Blick auf den Einsatz von OSS: OSS gibt eine vollständige Kontrolle, die Sicherheitstechniken der Software unabhängig vom Geschäftsmodell eines Herstellers anzupassen, die Prüfung von Software auf Sicherheitslücken ist immer möglich und die Schließung von Sicherheitslücken in Software ist auch unabhängig vom Hersteller möglich.

IT-Sicherheit ist allerdings immer ein Prozess! Eine Open-Source-Governance umfasst daher auch die stärkere Integration von OSS in das IT-Sicherheits-Management, um von diesen strategischen Vorteilen zu profitieren. Dabei können auch Dienstleister hinzugezogen werden.

Daneben waren insbesondere die Kosten für den Umstieg auf OSS Thema: Handelt es sich dabei um "Exit-Kosten" von proprietärer Software oder um Kosten für die OSS-Umstellung?

Das Fazit zum Thema OSS der IT-Sicherheitsbeauftragten war also durchaus positiv, wenngleich einige Fragen noch offen sind, die es in Zukunft gemeinsam aufzugreifen gilt. Dies zeigten auch die Live-Abfragen ganz gut.

Webcontent-Anzeige
Bildnachweis: Megafon – Aktuelles © Zerbor Adobe.Stock