Open-Source-Firewall sichert Schweizer E-Voting

3. April 2024 um 13:57
image
Illustration: Erstellt durch inside-it.ch mit Dall-E / GPT-4

Seit Anfang Jahr verwaltet ein Open-Source-Projekt die "Web Application Firewall"-Engine, welche unter anderem das E-Voting-System der Post schützt.

Die amerikanische Cybersecurity-Firma Trustwave hat Anfang Jahr die "Web Application Firewall"-Engine "Modsecurity" an das Open Worldwide Application Security Project (Owasp) übertragen. "Die Firma suchte seit Jahren einen Käufer, fand aber keinen", sagt Christian Folini, der neu die Verantwortung für das Firewall-Projekt trägt, im Gespräch mit inside-it.ch. Zudem führt der Security-Spezialist das Core-Rule-Set-Projekt (CRS), das auf Modsecurity aufbaut.

Trustwave hat Modsecurity vernachlässigt

Die Verwaltung von Modsecurity habe Trustwave "zum Sterben zu viel, aber zum Leben zu wenig" gebracht, so Folini. Und sie hätten investieren müssen, um sich einen Markt aufzubauen. Das hat Trustwave nicht getan und die Web Application Firewall (WAF) nun ans Open-Source-Projekt übergeben. "Durch das Zusammengehen des Engine-Projektes Modsecurity mit dem dominanten Regelprojekt CRS unter dem Owasp-Dach erhält die Organisation in diesem Bereich sehr viel Power", erklärt Folini, der sich ehrenamtlich fürs Owasp engagiert.
image
Christian Folini
Owasp lebt vom Sponsoring. Neben Folini arbeiten zwölf weitere Entwicklerinnen und Entwickler für die beiden Projekte. Sie stammen aus zahlreichen Ländern, darunter Ungarn, Slowakei, Uruguay, Indien oder Australien. Auch eine Schweizerin sei dabei, sagt Folini. Lizenzgebühren verrechnet Owasp getreu dem Open-Source-Gedanken keine, auch wenn kommerzielle Anbieter ihre Lösungen auf Basis Modsecurity und CRS bauen. Insbesondere im Bereich Firewall will Folini weitere Mitarbeitende rekrutieren. Weil das Projekt über zehn Jahre bei Trustwave stiefmütterlich behandelt worden sei, gebe es einiges an Aufräumarbeiten zu erledigen und einen Entwicklungsrückstand aufzuholen.

Viele Internetprovider nutzen die Firewall

In der Schweiz laufen nachweislich mehrere tausend Server mit Modsecurity und CRS, nicht zuletzt bei Hosting-Providern. Zwei Anbieter verkaufen die Lösung unter eigenem Namen weiter: Die Swisscom-Tochter United Security Providers (USP) und Nevis, eine Adnovum-Tochter. Die Schweizer Post nutzt Modsecurity "native" für die Absicherung des E-Voting-Systems. "Grosszügigerweise unterstützen uns die Post und USP als Sponsoren", sagt Folini. Alle anderen nähmen ihre Verantwortung gegenüber der Maintenance und der Weiterentwicklung dieser wichtigen Supply-Chain Bestandteile nicht wahr. Es würde ihn freuen, wenn sich Firmen stärker verpflichten würden, beispielsweise indem sie Personalressourcen zur Arbeit an den Produkten zur Verfügung stellen würden. Auf diese Art und Weise würden sie ja indirekt das eigene Produkt verbessern ohne die ganze Entwicklung selbst stemmen zu müssen.
Neben der Modsecurity-CRS-Kombination existieren am Markt auch zahlreiche kommerzielle Produkte von internationalen Anbietern wie Barracuda, Microsoft, AWS, F5 oder Fortinet, die bei Studien von Marktforschern wie Gartner und Forrester favorisiert werden, "obschon sie in Bezug auf typische Angriffe eine deutlich niedrigere Detection Rate aufweisen", moniert Christian Folini. Er führt das auf unterschiedliche Anreize zurück: Während CRS als Open-Source-Lösung vor allem eine hohe Sicherheit bieten will, versuchen die kommerziellen Anbieter viel stärker Fehlalarme zu vermeiden. "Sie alarmieren in zweifelhaften Fällen also zurückhaltender, da ein solcher Fehlalarm das Business gefährdet", so Folini. Ein Open-Source-Projekt nähme das eher in Kauf. “Und eventuell gehen die Anreize sogar so weit, dass ein kommerzieller Anbieter einen Security Incident dazu nutzt, einem Kunden eine teurere Lösung zu verkaufen.” meint Folini durchaus provokativ.

Loading

Mehr erfahren

Mehr zum Thema

image

Neue Direktorin für Förderagentur Innosuisse gewählt

Dominique Gruhl-Bégin wird im August ihre neue Position bei der Förderagentur übernehmen. Die bisherige Direktorin Annalise Eggimann tritt aus Altersgründen zurück.

publiziert am 15.5.2024
image

Schweizer Hoch­leistungs­rechner gehört zur Welt­spitze

Die leistungsfähigsten Supercomputer der Welt stehen allesamt in den USA. In Europa ist die Konkurrenz nahe beieinander.

publiziert am 14.5.2024
image

Psychiatrie Winterthur sucht neues KIS als Polypoint-Ersatz

Die Integrierte Psychiatrie Winterthur – Zürcher Unterland beschafft ein neues Klinikinformationssystem (KIS). Grund dafür ist ein Strategiewechsel des bisherigen Lieferanten.

publiziert am 14.5.2024
image

EFK verteilt Hausaufgaben ans E-ID-Projektteam

Die Eidgenössische Finanzkontrolle (EFK) hat sich mit dem E-ID-Projekt des Bundes befasst. Sie zeigt den Verantwortlichen auf, woran es noch fehlt.

publiziert am 13.5.2024 3