Trotz Log4Shell-Lücke: Open Source gilt für viele Firmen als sicher

4. März 2022, 14:30
  • technologien
  • studie
  • red hat
  • Open Source
image
Enterprise-Open-Source-Lösungen gewinnen an Bedeutung. Foto: Sigmund / Unsplash

Eine Studie von Red Hat zeigt: Das Vertrauen in die Sicherheit von Open-Source-Software nimmt zu. Wir haben einen Schweizer Open-Source-Spezialisten zu den Gründen befragt.

Im letzten Dezember wurde eine gravierende Sicherheitslücke in der Java-Bibliothek Log4J entdeckt. Entwickler und Security-Fachleute sprachen von einem Sicherheits-Super-GAU. Das Framework wird von diversen Anwendungen genutzt und gilt als De-Facto-Standard. Nach der Entdeckung entbrannte eine Diskussion über die Sicherheit von Open-Source-Lieferketten: konkret über die vielfältigen Abhängigkeiten der Projekte und den Einsatz von quelloffenem Code, der auf Freiwilligenbasis entwickelt wird, aber in Firmenanwendungen steckt. Trotz dieser Diskussionen scheint aber das Vertrauen in die Sicherheit von OS-Lösungen nach wie vor intakt.
Dies legt zumindest ein Report von Red Hat nahe. Der Konzern, der sein Geld mit dem Verkauf seiner Enterprise-Open-Source-Produkte mit Support-Verträgen verdient, hat fast 1300 Führungskräfte rund um den Globus befragen lassen. Red Hat kommt nach der Umfrage zum Schluss: Enterprise-Open-Source-Lösungen würden bei den Firmen immer wichtiger, während proprietäre Software an Bedeutung verliere – auch wegen der Security.
Denn die Umfrageteilnehmer gaben an, dass nicht nur neue Technologien für den Einsatz von Open Source eine grosse Rolle spielten, sondern auch die höhere Softwarequalität und eine bessere Sicherheit. Das Vertrauen in die Security ist trotz der Log4Shell-Lücke im Vergleich zum letzten Jahr sogar leicht gestiegen: 89% der Befragten waren überzeugt, dass Open-Source-Software für Unternehmen mindestens genauso sicher sei wie proprietäre Software, wenn nicht sogar sicherer.

Darum hält das Vertrauen auch nach der Lücke

"Zumindest gilt bei Open-Source nicht das Prinzip 'Security by Obsucrity', stattdessen kann jeder den Quellcode prüfen", erklärt Matthias Günter, Vorstandsmitglied von CH Open, einem Verein für die Förderung von Open Source. Natürlich passierten überall Fehler, Open Source sei nicht per se sicherer, aber es biete vielseitige Möglichkeiten zur Kontrolle, sagt der Projektleiter und Business-Analyst, der seit 20 Jahren in der IT tätig ist. Dennoch müsse man dringend über Security sprechen.
"Zu lange hat sich die Software-Gemeinschaft mit der Annahme getröstet, dass Open-Source-Software aufgrund ihrer Transparenz und der Vermutung, dass 'viele Augen' über sie wachen, um Probleme zu erkennen und zu lösen, generell sicher ist", schrieb Googles Chefjurist Kent Walker anlässlich eines hochkarätigen Krisentreffens wegen der Log4Shell-Lücke. Der Open-Source-Evergreen der "vielen Augen" taucht nun in der Umfrage von Red Hat erst am Schluss der wichtigsten Argumente auf. Und auch die selbständige Überprüfbarkeit des Codes spielte eine untergeordnete Rolle – nur gerade 38% nannten dies als Vorteil gegenüber proprietärer Software.
Stattdessen sagte über die Hälfte der Führungskräfte, dass ihr Team gut getesteten Open-Source-Code für ihre internen Anwendungen verwenden könnte. Und auch die klare Dokumentation von Sicherheitspatches sowie deren rasche Verfügbarkeit für Business-Anwendungen wurden von über der Hälfte der Befragten als Security-Argument genannt. Für Red Hat ist damit klar: "Was wir als Mythologie der Open-Source-Sicherheit bezeichnen könnten, scheint auf dem Rückzug zu sein."
Auch Matthias Günter betont, dass das vielhändige Testen ein Vorteil sei. Grosse Sicherheit erhöhe die Aufwände, ob bei Open Source oder anderer Software. Für viele Firmen sie es entscheidend, auf ein verlässliches Unternehmen zählen zu können, das die Distribution und den Support gerade auch mit Sicht auf die Sicherheit handhabe. Letztlich müsse man die Security aber ins Design einbauen und die zunehmende Komplexität so weit wie möglich reduzieren. Erste Ansätze für mehr Sicherheit wurden kürzlich von der Open Source Security Foundation (OpenSSF) vorgestellt.

Loading

Mehr zum Thema

image

Netflix bestätigt Partner-Suche für Werbung

Der Streaming-Anbieter will einen "einfachen Markteintritt" in das Geschäfts­feld und sein Werbe­angebot anschliessend weiterentwickeln.

publiziert am 24.6.2022
image

Podcast: 5G und Glasfaser – wer soll beim Ausbau mitreden?

Wir waren am Telekom-Gipfel des Branchenverbands Asut und nehmen die Themen kritische Infrastruktur, 5G und Glasfaser auf. Die Telcos sagen: Finanzierung ja, hereinreden nein. Das geht nicht auf.

publiziert am 24.6.2022
image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.

publiziert am 23.6.2022
image

Arbeiten in der virtuellen Welt ist anstrengend

Wie fühlt es sich an, eine Woche lang in der virtuellen Welt zu arbeiten? Eine Studie zeigt, nicht sehr gut, aber vielleicht gewöhnt man sich (ein bisschen) daran.

publiziert am 23.6.2022