Schwarmintelligenz
Mehr Sicherheit dank Open Source
Bereits seit den frühen 1980er-Jahren existiert das Konzept der Open-Source-Software. Seine Anfänge nahm es in der Zusammenarbeit von Wissenschaft und Wirtschaft mit dem Ziel, den neuen Herausforderungen mit speziell entwickelten Softwarelösungen zu begegnen. Als in den 1990er-Jahren technische Innovationen auch von einer breiteren Masse in der Gesellschaft angenommen wurden, stieg das Interesse an der Weiterentwicklung des "offenen" Ansatzes, und immer mehr Nutzer erkannten den Mehrwert solcher Lösungen für sich. Schließlich gab es hier nicht nur den Vorteil, eine Community hinter sich zu haben - Open Source spart bares Geld. Auch für Firmennetzwerke bringt es Vorteile: Lösungen werden flexibler, und Unternehmen können ergänzende Anwendungen und Dienstleistungen leichter in ihre IT-Umgebungen integrieren, um auf neue Geschäftsanforderungen zu reagieren und die Möglichkeiten für ihre Nutzer zu erweitern.
Gerade bei Sicherheitslösungen wirkt das Prinzip Open Source für viele jedoch abschreckend. Offener Quellcode? Von betriebseigener Sicherheitssoftware? Das öffnet dem Missbrauch ja quasi Tür und Tor - so die Sorge viele IT-Entscheider. Dass eigentlich aber genau das Gegenteil der Fall ist, wird oftmals übersehen. Dabei gibt es vor allem einen wesentlichen Aspekt, der Open-Source-Lösungen ganz besonders im Sicherheitsbereich interessant macht: nämlich den der Intelligenz der Massen.
Bastelt ein Unternehmen an einer proprietären betriebseigenen Sicherheitssoftware, sind daran in der Regel zwischen einem und zehn Programmierer beteiligt. Diese sind dafür zuständig, die Software an die Bedürfnisse des Unternehmens anzupassen und fortlaufend auf etwaige Schwachstellen zu überprüfen. Was im ersten Augenblick als wunderbarer Ansatz scheint, bildet auf den zweiten jedoch ein enormes Sicherheitsrisiko. Denn was hierbei oftmals vergessen wird, ist der Faktor der menschlichen Psychologie.
- Jeder weiß selbst am besten, welche Gefahren konkret drohen
Oft wird über Gefahren gesprochen, als wären sie universell. Das ist in Ordnung, wenn es um weltweite Trends geht, eignet sich aber nicht, um auf konkrete Unternehmen einzugehen. Unternehmensgröße, Branche und der Wert, den Informationen für das Unternehmen haben, sind nur einige der Faktoren, die etwas über etwaige Gefährdungen aussagen. Die internen Sicherheitsverantwortlichen wissen am besten, welche Angriffe am wahrscheinlichsten sind und sollten ihrer Expertise trauen, anstatt sich ausschließlich auf den Anti-Malware-Anbieter zu verlassen. - Sicherheit und Big Data sind direkt vernetzt
Lange haben Sicherheitsanbieter geflissentlich Daten über Angriffe gesammelt, analysiert und entsprechende Verteidigungsmechanismen entwickelt. Während sich die Vorgehensweise als solche nicht sehr geändert hat, ist die Datenmenge exorbitant angestiegen – jedes Jahr werden Millionen neue Gefahren entdeckt, gegen die sich Unternehmen tagtäglich schützen müssen. Gleichzeitig sind die meisten davon sehr kurzlebig, so dass die erste Entdeckung oftmals auch gleich das letzte Mal ist, dass sie gesehen werden. Ein Ende dieses Datenwachstums ist nicht in Sicht. - Das Zusammenspiel von Systemen ist Pflicht
Neue Gefahren werden mit neuen Technologien bekämpft – die sehr oft nur unabhängig von anderen funktionieren und nicht kompatibel sind. Erkennt also eine Technologie eine Gefahr, dann wird sie blockiert – allerdings nur auf Systemen, die diese Technologie nutzen. So gehen sehr viele Kontextinformationen verloren, die gerade in Zeiten komplexer Sicherheitsbedrohungen wichtig für einen möglichst umfassenden Schutz sind. Collaboration ist demnach Pflicht, integrierte Systeme sind erfolgreicher als unabhängige. - Aus dem einen Endpunkt sind viele Endpunkte geworden
Traditionelle Anbieter von Anti-Malware-Lösungen haben sich oft auf „den einen Endpunkt“ konzentriert. Im Kampf gegen Advanced Malware werden allerdings ganzheitlichere Konzepte gebraucht. Angriffsziele sind über das gesamte Unternehmen verstreut – denn was hilft es, wenn klar ist, welcher Endpunkt angegriffen wird, aber nicht, welche Auswirkungen das auf andere Komponenten hat? Sicherheitsverantwortliche brauchen eine umfassendere Perspektive, um effektiv gegen Advanced Malware vorzugehen. - Es reicht nicht mehr, Angriffe nur zu entdecken
Häufig haben die Sicherheitsverantwortlichen keinen ausreichenden Überblick über aktuelle Angriffe. Zudem fällt es ihnen oft schwer, die Kontrolle über die Systeme nach einer Attacke zurückzugewinnen. Obwohl es wohl nie eine 100-prozentige Absicherung geben wird, sollten Unternehmen und Anbieter dennoch kontinuierlich in die Entwicklung neuer Technologien investieren – und zwar nicht nur, um Gefahren schnell zu entdecken, sondern auch, um sie zu bekämpfen, zu analysieren und zu kontrollieren. <br /><br /><em>(Tipps zusammengestellt von Volker Marschner, Security Consultant bei Sourcefire/Cisco)</em>
Community - die objektive Instanz
Dadurch, dass sich die Entwickler tagaus, tagein mit der Lösung beschäftigen - und außer ihnen niemand sonst den Quellcode auf Schwachstellen überprüfen kann -, steigt die Wahrscheinlichkeit zunehmend, dass diese irgendwann betriebsblind werden. Jeder kennt das - setzt man sich lange Zeit mit nur einem Thema auseinander, ist man irgendwann so tief in der Materie drin, dass einem die grundlegendsten Dinge nicht mehr auffallen. Auch beim Thema Softwareentwicklung ist das nicht anders. Was Unternehmen fehlt, ist eine objektive Instanz, die hin und wieder überprüft, ob das, was softwaremäßig im Einsatz ist, tatsächlich jeglichen kritischen Untersuchungen standhält.
Und genau das kann Open Source leisten. Der Community-Gedanke von Open-Source-Ansätzen garantiert, dass es eine Menge Experten gibt - Entwickler, Studenten, Freiwillige -, die es sich zur Aufgabe machen, vorhandenen offenen Quellcode so akribisch wie möglich zu durchleuchten, um etwaige Sollbruchstellen zu füllen. Die Motivation dieser Leute ist dabei unterschiedlich. Die einen machen es aus persönlichem Interesse. Andere testen daran ihr akademisches Wissen. Und wieder andere haben einfach den Idealismus, dank eigenen Spürsinns die Community vor fehlerhaftem Quellcode zu bewahren.
Doch egal, was die Motivation auch sein mag: Tatsache ist, dass es hier eben nicht mehr nur die immer gleichen fünf Augenpaare sind, die etwaigen Unternehmensquellcode auf Mängel untersuchen. Vielmehr sind es mitunter Tausende Augenpaare, die es sich zur Aufgabe machen, denn unternehmenseigenen Quellcode so rein wie möglich zu halten. Die Wahrscheinlichkeit, dass Sicherheitslücken so schnell gesehen und behoben werden, steigert sich dadurch ins Unermessliche.
Natürlich kann es immer schwarze Schafe geben, die die Offenheit von Quellcode ausnutzen, um gezielt Sicherheitsbedrohungen einzubauen. Diesen stehen jedoch Tausende an weißen Schafen gegenüber, von denen diese Mängel mindestens einem über kurz oder lang garantiert auffallen werden. Eben weil der Quellcode von der Community unter permanenter Beobachtung steht.
Für derartig hochfrequentierte Reviews der eigenen Software von externen Experten müssten Unternehmen bei proprietären Lösungen in der Regel sehr tief in die Tasche greifen - was die meisten aus diesem Grund natürlich nicht machen.