Open-Source-Firewall sichert Schweizer E-Voting

3. April 2024 um 13:57
image
Illustration: Erstellt durch inside-it.ch mit Dall-E / GPT-4

Seit Anfang Jahr verwaltet ein Open-Source-Projekt die "Web Application Firewall"-Engine, welche unter anderem das E-Voting-System der Post schützt.

Die amerikanische Cybersecurity-Firma Trustwave hat Anfang Jahr die "Web Application Firewall"-Engine "Modsecurity" an das Open Worldwide Application Security Project (Owasp) übertragen. "Die Firma suchte seit Jahren einen Käufer, fand aber keinen", sagt Christian Folini, der neu die Verantwortung für das Firewall-Projekt trägt, im Gespräch mit inside-it.ch. Zudem führt der Security-Spezialist das Core-Rule-Set-Projekt (CRS), das auf Modsecurity aufbaut.

Trustwave hat Modsecurity vernachlässigt

Die Verwaltung von Modsecurity habe Trustwave "zum Sterben zu viel, aber zum Leben zu wenig" gebracht, so Folini. Und sie hätten investieren müssen, um sich einen Markt aufzubauen. Das hat Trustwave nicht getan und die Web Application Firewall (WAF) nun ans Open-Source-Projekt übergeben. "Durch das Zusammengehen des Engine-Projektes Modsecurity mit dem dominanten Regelprojekt CRS unter dem Owasp-Dach erhält die Organisation in diesem Bereich sehr viel Power", erklärt Folini, der sich ehrenamtlich fürs Owasp engagiert.
image
Christian Folini
Owasp lebt vom Sponsoring. Neben Folini arbeiten zwölf weitere Entwicklerinnen und Entwickler für die beiden Projekte. Sie stammen aus zahlreichen Ländern, darunter Ungarn, Slowakei, Uruguay, Indien oder Australien. Auch eine Schweizerin sei dabei, sagt Folini. Lizenzgebühren verrechnet Owasp getreu dem Open-Source-Gedanken keine, auch wenn kommerzielle Anbieter ihre Lösungen auf Basis Modsecurity und CRS bauen. Insbesondere im Bereich Firewall will Folini weitere Mitarbeitende rekrutieren. Weil das Projekt über zehn Jahre bei Trustwave stiefmütterlich behandelt worden sei, gebe es einiges an Aufräumarbeiten zu erledigen und einen Entwicklungsrückstand aufzuholen.

Viele Internetprovider nutzen die Firewall

In der Schweiz laufen nachweislich mehrere tausend Server mit Modsecurity und CRS, nicht zuletzt bei Hosting-Providern. Zwei Anbieter verkaufen die Lösung unter eigenem Namen weiter: Die Swisscom-Tochter United Security Providers (USP) und Nevis, eine Adnovum-Tochter. Die Schweizer Post nutzt Modsecurity "native" für die Absicherung des E-Voting-Systems. "Grosszügigerweise unterstützen uns die Post und USP als Sponsoren", sagt Folini. Alle anderen nähmen ihre Verantwortung gegenüber der Maintenance und der Weiterentwicklung dieser wichtigen Supply-Chain Bestandteile nicht wahr. Es würde ihn freuen, wenn sich Firmen stärker verpflichten würden, beispielsweise indem sie Personalressourcen zur Arbeit an den Produkten zur Verfügung stellen würden. Auf diese Art und Weise würden sie ja indirekt das eigene Produkt verbessern ohne die ganze Entwicklung selbst stemmen zu müssen.
Neben der Modsecurity-CRS-Kombination existieren am Markt auch zahlreiche kommerzielle Produkte von internationalen Anbietern wie Barracuda, Microsoft, AWS, F5 oder Fortinet, die bei Studien von Marktforschern wie Gartner und Forrester favorisiert werden, "obschon sie in Bezug auf typische Angriffe eine deutlich niedrigere Detection Rate aufweisen", moniert Christian Folini. Er führt das auf unterschiedliche Anreize zurück: Während CRS als Open-Source-Lösung vor allem eine hohe Sicherheit bieten will, versuchen die kommerziellen Anbieter viel stärker Fehlalarme zu vermeiden. "Sie alarmieren in zweifelhaften Fällen also zurückhaltender, da ein solcher Fehlalarm das Business gefährdet", so Folini. Ein Open-Source-Projekt nähme das eher in Kauf. “Und eventuell gehen die Anreize sogar so weit, dass ein kommerzieller Anbieter einen Security Incident dazu nutzt, einem Kunden eine teurere Lösung zu verkaufen.” meint Folini durchaus provokativ.

Loading

Mehr zum Thema

image

Schaffhauser eID+ wird Ende Jahr eingestellt

Die kantonseigene elektronische Identität wird durch das Agov-Login des Bundes ersetzt.

publiziert am 4.10.2024
image

EuGH schränkt Datennutzung durch Facebook und Co. ein

Die zeitlich unbeschränkte Datenspeicherung sowie die Aggregierung aller möglichen Daten für Werbezwecke entspricht laut dem EU-Gericht nicht den Grundsätzen der DSGVO.

publiziert am 4.10.2024
image

OpenAI holt sich 6,6 Milliarden Dollar von Investoren

Der ChatGPT-Entwickler hat Investoren offenbar gebeten, konkurrierende KI-Startups wie Anthropic und xAI nicht zu unterstützen.

publiziert am 4.10.2024
image

Bund hilft bei der Publikation von Open Source Software

Bundesbehörden müssen den Quellcode von Software offenlegen, die sie zur Erfüllung ihrer Aufgaben entwickeln oder entwickeln lassen. Ein neuer Leitfaden soll dabei helfen.

publiziert am 4.10.2024