Die amerikanische Cybersecurity-Firma Trustwave hat Anfang Jahr die "Web Application Firewall"-Engine "Modsecurity" an das Open Worldwide Application Security Project (Owasp) übertragen. "Die Firma suchte seit Jahren einen Käufer, fand aber keinen", sagt Christian Folini, der neu die Verantwortung für das Firewall-Projekt trägt, im Gespräch mit inside-it.ch. Zudem führt der Security-Spezialist das Core-Rule-Set-Projekt (CRS), das auf Modsecurity aufbaut.

Die Verwaltung von Modsecurity habe Trustwave "zum Sterben zu viel, aber zum Leben zu wenig" gebracht, so Folini. Und sie hätten investieren müssen, um sich einen Markt aufzubauen. Das hat Trustwave nicht getan und die Web Application Firewall (WAF) nun ans Open-Source-Projekt übergeben. "Durch das Zusammengehen des Engine-Projektes Modsecurity mit dem dominanten Regelprojekt CRS unter dem Owasp-Dach erhält die Organisation in diesem Bereich sehr viel Power", erklärt Folini, der sich ehrenamtlich fürs Owasp engagiert.

Owasp lebt vom Sponsoring. Neben Folini arbeiten zwölf weitere Entwicklerinnen und Entwickler für die beiden Projekte. Sie stammen aus zahlreichen Ländern, darunter Ungarn, Slowakei, Uruguay, Indien oder Australien. Auch eine Schweizerin sei dabei, sagt Folini. Lizenzgebühren verrechnet Owasp getreu dem Open-Source-Gedanken keine, auch wenn kommerzielle Anbieter ihre Lösungen auf Basis Modsecurity und CRS bauen. Insbesondere im Bereich Firewall will Folini weitere Mitarbeitende rekrutieren. Weil das Projekt über zehn Jahre bei Trustwave stiefmütterlich behandelt worden sei, gebe es einiges an Aufräumarbeiten zu erledigen und einen Entwicklungsrückstand aufzuholen.

In der Schweiz laufen nachweislich mehrere tausend Server mit Modsecurity und CRS, nicht zuletzt bei Hosting-Providern. Zwei Anbieter verkaufen die Lösung unter eigenem Namen weiter: Die Swisscom-Tochter United Security Providers (USP) und Nevis, eine Adnovum-Tochter. Die Schweizer Post nutzt Modsecurity "native" für die Absicherung des E-Voting-Systems. "Grosszügigerweise unterstützen uns die Post und USP als Sponsoren", sagt Folini. Alle anderen nähmen ihre Verantwortung gegenüber der Maintenance und der Weiterentwicklung dieser wichtigen Supply-Chain Bestandteile nicht wahr. Es würde ihn freuen, wenn sich Firmen stärker verpflichten würden, beispielsweise indem sie Personalressourcen zur Arbeit an den Produkten zur Verfügung stellen würden. Auf diese Art und Weise würden sie ja indirekt das eigene Produkt verbessern ohne die ganze Entwicklung selbst stemmen zu müssen.

Neben der Modsecurity-CRS-Kombination existieren am Markt auch zahlreiche kommerzielle Produkte von internationalen Anbietern wie Barracuda, Microsoft, AWS, F5 oder Fortinet, die bei Studien von Marktforschern wie Gartner und Forrester favorisiert werden, "obschon sie in Bezug auf typische Angriffe eine deutlich niedrigere Detection Rate aufweisen", moniert Christian Folini. Er führt das auf unterschiedliche Anreize zurück: Während CRS als Open-Source-Lösung vor allem eine hohe Sicherheit bieten will, versuchen die kommerziellen Anbieter viel stärker Fehlalarme zu vermeiden. "Sie alarmieren in zweifelhaften Fällen also zurückhaltender, da ein solcher Fehlalarm das Business gefährdet", so Folini. Ein Open-Source-Projekt nähme das eher in Kauf. “Und eventuell gehen die Anreize sogar so weit, dass ein kommerzieller Anbieter einen Security Incident dazu nutzt, einem Kunden eine teurere Lösung zu verkaufen.” meint Folini durchaus provokativ.