Eine erfolgreiche Software muss heutzutage mehr Funktionen bieten als je zuvor. Daher benutzen Entwicklungsteams immer mehr Bibliotheken, die als kommerzielle Produkte oder Open-Source-Software verfügbar sind. Die Teams, die Bibliotheken bauen, nutzen ihrerseits andere Bibliotheken. Dadurch entstehen große Abhängigkeiten  – nicht nur innerhalb der Software eines Unternehmens, sondern auch bei allen Akteuren, die diese Bibliotheken in ihre Software einbinden. Das bietet wiederum Hackern eine große Angriffsfläche. Erfolgreiche Hacks können Unternehmen große Schäden verursachen  – und im schlimmsten Fall sogar die Existenz bedrohen. Daher müssen die Verantwortlichen wichtige Sicherheitsmaßnahmen einplanen und die Umsetzung sicherstellen.

Solche öffentlichen Bibliotheken in der Software-Entwicklung zu nutzen, ist also ein schmaler Grat. Einerseits sind sie wichtig, um ein Kundenerlebnis mit zahlreichen Möglichkeiten zu schaffen, andererseits bergen sie Sicherheitsrisiken in der Architektur. Die IT-Sicherheit muss den Überblick über die zunehmend komplexen Netzwerke an Bibliotheken behalten. Das ist enorm schwierig, da Unternehmen häufig nicht einmal wissen, welche Bibliotheken innerhalb ihrer Software-Lieferkette verwendet werden.

Diese Gemengelage spielt Hackern in die Karten, die jeden noch so kleinen Programmierfehler als Angriffspunkt nutzen können. Dabei müssen Cyberkriminelle Schwachstellen nicht mal mehr selbst suchen: In Katalogen wie dem Common Vulnerabilities and Exposures (CVE) System werden bekannte Schwachstellen öffentlich gesammelt. Üblicherweise geschieht das erst, nachdem die Lücken geschlossen sind. Doch häufig erhalten Teams, die eine betroffene Bibliothek verwendet haben, diese Information verspätet oder können nicht schnell genug auf eine neue Version dieser Bibliothek wechseln. Angreifer haben also in diesem Zeitfenster leichtes Spiel.

Ein prominentes Beispiel ist die Sicherheitslücke Log4Shell von Java: Log4j ist eine in Java geschriebene Bibliothek, die Ereignisse wie beispielsweise Anmeldungen protokolliert. Diese wies eine Sicherheitslücke auf, die sich Hacker zunutze machten, um Schadsoftware in Systeme einzuschleusen. Dadurch konnten sie Daten unberechtigt kopieren, übertragen und abrufen. Betroffen von der Sicherheitslücke waren unter anderem Wirtschaftsriesen wie Amazon, Apple und Twitter.

Open-Source-Software sicher anwenden

Die IT-Sicherheit muss den Überblick über die zunehmend komplexen Netzwerke an Bibliotheken behalten. © Thoughtworks

Solche Fälle haben weitreichende Konsequenzen – wie entsprechende Medienberichte schon seit Jahren immer wieder verdeutlichen. Aktuelle Brisanz erhält das Thema durch wachsende Kundenansprüche. Damit einher gehen eine immer schnellere Softwareentwicklung und zunehmende Vernetzung von Software-Lieferketten. In den USA ist die beschriebene Thematik bereits vielseitig diskutiert und führte zu einer Vorgabe des Weißen Hauses, die verlangt, dass Listen über alle beteiligten Bibliotheken einer an die Regierung gelieferten Software geführt werden müssen, eine sogenannte Software Bill of Materials (SBOM). Es ist unerlässlich, bei einer solchen Menge an eingebundenen Bibliotheken den Überblick zu behalten, um Sicherheitsrisiken schnellstmöglich zu erkennen und beseitigen zu können.

In Deutschland gibt es entsprechende Regulierungen noch nicht. In DAX-Unternehmen steigt aber zunehmend das Bewusstsein für einen verantwortungsvollen Umgang mit Technologien. Gerade Automobilhersteller lassen immer häufiger ihre Software-Lieferkette überprüfen. Die konkrete Vorgehensweise ist dabei jedoch oft noch unklar.

Vorbeugende Maßnahmen

Eine Software ist nicht mit ihrer Entwicklung abgeschlossen, Gefahren lauern auch im weiteren Verlauf des Lebenszyklus. Regelmäßig müssen Funktionen erweitert und Fehler behoben werden. In diesem Zuge werden automatisch die Bibliotheken neu integriert, wobei die zwischenzeitlich bekannt gewordenen Sicherheitslücken geschlossen werden. Auch und gerade bei Anwendungen ohne regelmäßige Änderungen, wie etwa Admin-Oberflächen, ist es allerdings wichtig, auf verfügbare Aktualisierungen zu prüfen. Denn: Auch ursprünglich einmal sichere Anwendungen sind dies nicht für immer  – und dieses Bewusstsein muss bei allen relevanten Akteuren ankommen.

In den meisten Fällen finden im Bereich der Bibliotheken automatisierte Sicherheitsprüfungen statt. Zugleich ist es ratsam, Überwachungswerkzeuge einzusetzen, die Software und die darin verwendeten Bibliotheken scannen und auf Sicherheitslücken aufmerksam machen. Die Lücken werden sichtbar, weil ein Abgleich mit Datenbanken wie dem oben angesprochenen CVE stattfindet: Wird über das CVE eine neue Sicherheitslücke bekannt gegeben, kann diese sofort und automatisiert mit der Liste der in der eigenen Software verwendeten Bibliotheken abgeglichen werden. Gerade bei vielen unterschiedlichen Bibliotheken, lässt sich die Gefahr einer Lücke  – und ihrer Folgen  – so automatisiert reduzieren. Andere Tools testen zudem den selbst geschriebenen Code und erkennen Muster, die als unsicher gelten. So fallen Programmierfehler automatisiert auf – diese sind nämlich laut einem GitHub-Report die häufigste Ursache für Sicherheitslücken innerhalb der Software-Lieferkette.

Trendwende aktiv mitgestalten

Immer mehr Unternehmen entwickeln Bedenken in Bezug auf die Datensicherheit lizenzierter Systeme der großen amerikanischen Anbieter. Sie wollen nicht in eine Abhängigkeit von einzelnen Anbietern geraten, sondern mehr Kontrolle über ihre eigenen Daten haben. Deshalb werden Open- Source-Lösungen zunehmend beliebter – auch in der industriellen Produktion. Mit der durchgängig digitalen Vernetzung in Smart Factories gestalten sich zwar so manche Produktionsschritte effektiver und transparenter, jedoch führt eine große Vernetzung zu einem höheren Angriffsrisiko und mehr Betroffenen. Auch müssen externe Faktoren wie Kriege, Disponentenwechsel durch Lieferschwierigkeiten und vieles mehr als Risikofaktor mitbedacht werden.

Das Thema OSS wird im Kontext eines verantwortungsvollen Umgangs mit Technologie in den nächsten Jahren weiter an Relevanz gewinnen. Es bleibt spannend zu beobachten, welche weiteren Tools und Praktiken sich in diesem Zusammenhang durchsetzen werden. Unternehmen, die sich hier frühzeitig ausprobieren, evaluieren und kollaborieren, werden diese Trendwende aktiv mitgestalten und Erfolge erzielen.

Erik Dörnenburg, Head of Tech bei Thoughtworks Deutschland