Open Source vs. Closed Source Auf Nummer sicher mit Open Source?

Von Chiara Maurer

Anbieter zum Thema

Absolute IT-Sicherheit? Eine Illusion. Dennoch – oder gerade deswegen – arbeiten Chief Information Security Officers (CISOs) stets daran, ihre IT-Landschaft bestmöglich abzusichern. Fundamental dabei: die Wahl zwischen Open Source und proprietärer Software.

Rund 99 Prozent der Closed-Source-Programme beinhalten heute Komponenten mit offenem Quellcode
Rund 99 Prozent der Closed-Source-Programme beinhalten heute Komponenten mit offenem Quellcode
(© VectorMine - stock.adobe.com)

Steigen Open-Source-Lösungen wie der Phönix aus der Asche? Das legt zumindest der Name der von Dataport entwickelten Software dPhoenixSuite nahe. Über den ­Arbeitsplatz können Nutzer auf Büroanwendungen in einer Cloud zugreifen. Das Land Schleswig Holstein möchte davon nun Gebrauch machen.

Bis Ende 2026 soll der Wechsel von einer proprietären Software zur quelloffenen Lösung erfolgt sein, jedoch ganz ohne Druck. Um ihrem Namen gerecht zu werden und Open-Source-Lösungen nach ihrem turbulenten Start in München metaphorisch aus der Asche aufsteigen zu lassen, soll der Arbeitsplatz nun zunächst durch technisch versierte Mitarbeiter ­getestet werden. Ziel dieser Pilotphase ist es, mögliche Probleme so bereits vor der vollständigen Implementierung der Software zu erkennen und zu beheben. Auf diese Weise soll ein plötzlicher Strategiewechsel umgangen werden, erklärt ­Tobias Goldschmidt, ehemaliger Digitalisierungsstaatssekretär im Land Schleswig-Holstein.

Zwar ist die Zuständigkeit für das Digitalisierungsressort des Landes in die Staatskanzlei gewechselt und Goldschmidt somit nicht mehr zuständig für die Open-Source-­Strategie in Schleswig-Holstein, dennoch galt für ihn zu seiner Amtszeit, aus den in München ­beobachteten Problemen zu lernen. So gab er sich gegenüber der Ergebnisse der Testphase offen und schloss auch die künftige Nutzung von kommerziellen Lösungen nicht aus, sollten sich im Praxistest Defizite in der quelloffenen Software zeigen.

Doch wie bereits sein Vorgänger, Jan Philipp Albrecht, gab sich Goldschmidt optimistisch, dass sich die quelloffene Lösung bewähren wird. Auch Albrecht hatte in der Vergangenheit mehrfach sein Wohlwollen gegenüber Open Source geäußert. Grund für ihn waren die mit den offenen Codes kommende Flexibilität sowie „all die Vorteile, die Open Source immer hat: Souveränität, Datensicherheit und Datenschutz“, wie er im Interview mit dem Onlineportal Heise erklärte.

Alles eine Frage der ­Sicherheit?

Allein ist das Land Schleswig-Holstein bei der Begründung seiner Wahl jedoch nicht, denn das Argument der Sicherheit gewinnt ­immer mehr an Gewicht.

Eine von Aqua Security in Auftrag ­gegebene Studie unter 100 US-amerikanischen CISOs in Unternehmen der Fortune 1.000, also der 1.000 umsatzstärksten amerikanischen Firmen, zeigt, dass Sicherheitsentscheider ebenfalls vermehrt auf Open-Source-Software zurückgreifen.

So glauben ganze 70 Prozent der Befragten, dass Open-Source-Sicherheitslösungen einen schnellen Weg zur Sicherung ihrer Umgebung bieten. 60 Prozent bevorzugen es dabei, direkt mit Anbietern von Open-Source-Projekten zusammenzuarbeiten.

Wie sicher ist sicher ­genug?

Es kann keine hundertprozentige IT-Sicherheit geben, denn sobald ein Unternehmen, eine Behörde oder sonstige Einrichtung über ein Netzwerk an die „Außenwelt“ angeschlossen ist, macht sie das angreifbar. Die Frage, die es hier zu stellen gilt, ist also nicht die nach dem „sicher“, sondern nach dem „sicher genug“, was dennoch angesichts der Dichotomie des Themas zur Herausforderung werden kann. Gestaltet sich die zu treffende Entscheidung als sprichwörtliche Wahl zwischen Pest und Cholera oder spricht der Sicherheitsaspekt doch klar für eine Lösung?

Um eine Antwort darauf zu finden, bedarf es eines Schemas, das es ermöglicht, die Sicherheit der Softwares zu bewerten und direkt zu vergleichen. Das gelingt mit Hilfe von fünf Aspekten:

  • Inhalt der Software,
  • Verhalten der Software,
  • Vertrauen in Hersteller,
  • Vertrauenswürdigkeit der Liefer­kette,
  • Herstellerunabhängigkeit.

Durch die fünf Punkte werden potentielle Angriffsflächen und sicherheitsrelevante Faktoren der Software kategorisiert und beleuchtet, sodass eine Einschätzung der potenziellen Bedrohungen für die jeweils untersuchte Lösung erfolgen kann.

In Hinsicht auf den Inhalt der Software ist Open Source klar im Vorteil. Was scheinbar widersprüchlich klingt, ist ein Argument zugunsten der offenen Codes: Sicherheit durch Offenheit. Durch den offenen Charakter der Software ist es ihr nicht möglich, verborgene Funktionen zu enthalten. Zudem können so im Quellcode enthaltene Risiken von Analyse-Werkzeugen entdeckt und schließlich behoben werden – eine Möglichkeit, die Closed-Source-Varianten nicht bieten. Hier ist eine Überprüfung des Quellcodes mit erheblichem Aufwand verbunden, denn überhaupt oder gar dauerhaft Zugriff auf den Code zu ­bekommen, gestaltet sich oft schwierig, sodass die Codes aus den kompilierten Programmen rekonstruiert werden müssen. Die (unabhängige) Überprüfung ist daher beinahe unmöglich.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Weiterhin müssen Nutzer darauf vertrauen, dass Hersteller Sicherheitslücken nach bestem Wissen und Gewissen schließen. In den vergangenen zwei Jahren waren 95 Prozent der von Zero-Day-Exploits betroffenen Softwares Closed-Source-Programme – und das, obwohl heute nur noch 45 Prozent der Unternehmensanwendungen auf geschlossenen Quellcodes basieren. Hier punkten Open-Source-Programme ebenfalls durch ihre Offenheit. Wird eine Sicherheitslücke eingebaut, ist es sehr wahrscheinlich, dass diese entdeckt wird.

Dieser Punkt findet sich ebenfalls wieder, betrachtet man die Vertrauenswürdigkeit der ­Lieferkette. Denn obwohl die Softwareherstellung eine Industrie mit Zulieferern aus der ganzen Welt ist und deswegen staatliche Zugriffe nicht ausgeschlossen werden können, erlauben es die Offenheit der Lösung und die Zusammenarbeit verschiedener Entwickler, böswillige Veränderungen im Code mit hoher Wahrscheinlichkeit zu erkennen.

Ebenso durch Hersteller-Unabhängigkeit. Über Open-Source-Programme kann souverän verfügt werden, wodurch Nutzer sich, ­anders als bei Closed-Source-Anwendungen, nicht in technische Abhängigkeiten begeben müssen. Diese Abhängigkeiten laufen ­Gefahr, sich zu Monopolen zu verdichten, die nicht nur mit wenig Aufwand angegriffen werden können, sondern zudem im Falle ­einer Attacke oftmals ein stärkeres Schadensausmaß aufweisen.

Sicher ist sicher

IT-Landschaften so zu gestalten, dass Angriffe auszuschließen sind, ist nicht möglich, denn ungeachtet der aufgebrachten Ressourcen und Mühen bleibt immer ein Restrisiko bestehen.

Nichtsdestotrotz kann durch entsprechende Maßnahmen die Gefahr eines Angriffs minimiert werden – und die Quelloffenheit nutzt eben diese, weshalb Nutzer mit ihr besser geschützt sind als mit proprietären Anwendungen.

Aus diesem Grund setzen zahlreiche kommerzielle Programme ebenfalls teilweise auf Open Source: Rund 99 Prozent der Closed-Source-Programme beinhalten heute Komponenten mit offenem Quellcode.

(ID:48528169)