![\"Open-Source-Software](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-1363462781-300x157.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
Freie Software ist heute f\u00fcr die gesamte Informatikbranche lebenswichtig. Das hei\u00dft, im Prinzip sogar f\u00fcr alle Bereiche. Die Frage, wie sie erhalten werden kann, entwickelte sich allm\u00e4hlich zu einem Anlass zur Sorge, so dass der US-Kongress im Jahr 2023 einen Gesetzesentwurf vorlegte: den \u201eSecuring Open Source Software Act<\/em>\u201c. Der Weg von Open-Source-Software von einem Drucker \u00a0zum US-Kongress: ein R\u00fcckblick auf eine faszinierende Geschichte.<\/strong><\/p>\n Der \u201eSecuring Open Source Software Act<\/em><\/a>\u201c des US-Kongresses schl\u00e4gt gleich in den ersten Zeilen einen klaren Ton an: \u201eFreie Software f\u00f6rdert die technologische Entwicklung und ist ein integraler Bestandteil der globalen Cybersicherheit\u201c<\/em>. \u201eEin sicheres, gesundes, dynamisches und resilientes \u00d6kosystem f\u00fcr freie Software ist entscheidend f\u00fcr die Gew\u00e4hrleistung der nationalen Sicherheit und der wirtschaftlichen Vitalit\u00e4t der Vereinigten Staaten.<\/em>\u201c. \u201eFreie Software geh\u00f6rt zu den Grundlagen der digitalen Infrastruktur, die ein freies und offenes Internet f\u00f6rdert.<\/em>\u201c \u201eOhne eine solche freie Software w\u00fcrde das Internet, wie wir es heute kennen, nicht existieren und h\u00e4tte auch nie existieren k\u00f6nnen\u2026<\/em>\u201c, fasst Yvan Vanhullebus<\/strong>, Technical Leader bei Stormshield, zusammen. Aber die Begriffe \u201eFreie Software\u201c und \u201eOpen Source\u201c zu vermischen, kann f\u00fcr viele verwirrend sein.<\/p>\n Ohne eine solche freie Software w\u00fcrde das Internet, wie wir es heute kennen, nicht existieren und h\u00e4tte auch nie existieren k\u00f6nnen\u2026<\/em><\/p>\n <\/p>\n Urspr\u00fcnglich verwendete man den Begriff free software<\/em>, also \u201eFreie Software\u201c. Das zugrunde liegende Konzept entstand in den 1980er Jahren in den USA unter der F\u00fchrung von Richard Stallman. Obwohl er urspr\u00fcnglich nur ein Dokument ausdrucken wollte, ging dieser leidenschaftliche Verfechter der Hacker<\/em><\/a>-Kultur als derjenige in die Geschichte ein, der sich damals der Privatisierung von Software und der Entstehung immer restriktiverer Gesetze f\u00fcr Benutzer widersetzte \u2013 beispielsweise wurde im Jahr 1980 der Computer Software Copyright Act<\/em> verabschiedet.<\/p>\n Vor diesem Hintergrund gr\u00fcndete Richard Stallman 1985 die Free Software Foundation<\/em>, eine gemeinn\u00fctzige Organisation, welche die vier Grundpfeiler f\u00fcr freie Software aufstellte: die Freiheit, das Programm zu jedem Zweck auszuf\u00fchren, die Freiheit, die Funktionsweise eines Programms zu analysieren und es an die eigenen Bed\u00fcrfnisse anzupassen, die Freiheit, Kopien weiterzuverbreiten, und die Freiheit, das Programm zu verbessern und diese Verbesserungen zu ver\u00f6ffentlichen, damit alle Benutzer davon profitieren k\u00f6nnen. Im Hinblick auf die m\u00f6glichen Interpretationen des Begriffs \u201efree\u201c (frei) schrieb Richard Stallman in seiner autorisierten Biografie: \u201eDon't think free as in free beer; think free as in free speech<\/em>.\u201c (Denken Sie beim Begriff \u201efrei\u201c nicht an Freibier, sondern an Meinungsfreiheit.) Es stehen also nicht die Kosten, sondern die Anwendungsfreiheit im Vordergrund. Doch dieser ethische<\/a> Ansatz des Konzepts ist alles andere als unumstritten: Um die Frage der sprachlichen Mehrdeutigkeit endg\u00fcltig zu kl\u00e4ren, pr\u00e4gte die amerikanische Wissenschaftlerin Christine Peterson, die damalige leitende Direktorin des Foresight Institute, im Jahr 1998 den Begriff \u201eOpen Source\u201c. Dies war eine notwendige lexikalische Weiterentwicklung, die sie in einer langen, spannenden Geschichte<\/a> ausf\u00fchrlich beschrieb. Zusammen mit Pers\u00f6nlichkeiten wie Eric Raymond und Bruce Perens beteiligte sie sich noch im gleichen Jahr an der Gr\u00fcndung der Open Source Initiative (OSI). Seitdem ersetzt der neue Begriff Open-Source-Software<\/em> die urspr\u00fcngliche Bezeichnung free software<\/em>.<\/p>\n Denken Sie beim Begriff \u201efrei\u201c nicht an Freibier, sondern an Meinungsfreiheit.<\/em><\/p>\n Worin unterscheiden sich \u201efreier Software\u201c und \u201eOpen-Source-Software\u201c? Dies ist eine Frage der Definition: \u201eFreie Software\u201c bezieht sich auf die M\u00f6glichkeit, Software zu nutzen, zu analysieren, zu modifizieren oder sogar zu vervielf\u00e4ltigen, w\u00e4hrend der Begriff \u201eOpen-Source-Software\u201c einen Entwicklungsansatz beschreibt, bei dem der Quellcode vollst\u00e4ndig oder teilweise wiederverwendet wird. <\/strong>Open-Source-Projekte werden in der Regel von einem oder mehreren sogenannten \u201eMaintainern\u201c beaufsichtigt. Es werden jedoch auch externe Beitr\u00e4ge wie das Hinzuf\u00fcgen neuer Funktionen, das Melden von Fehlern (und deren Behebung) oder die Verbesserung der Sicherheit gef\u00f6rdert. Anders ausgedr\u00fcckt: Open Source ist eine Bewegung f\u00fcr kollaborative Softwareentwicklung.<\/p>\n <\/p>\n Um sicherzustellen, dass die Software offen und frei bleibt, war es wichtig, einen rechtlichen Rahmen zu definieren: Aus diesem Grund sind verschiedene Nutzungslizenzen entstanden. Die bekannteste ist die GNU GPL (General Public License<\/em>), deren erste Version 1989 auf der Basis der von Richard Stallman erdachten vier Grundpfeiler entstand, mit denen die rechtlichen Bedingungen f\u00fcr die Verbreitung freier Software im Rahmen des GNU-Projekts festgelegt werden sollten. Es folgten weitere Lizenzen wie Apache 2.0, MIT, BSD oder Creative Common, die jeweils eigene Stufen der Freigabe und Wiederverwendung von Code beinhalten.<\/p>\n Die Entwicklung dieser Lizenzen erm\u00f6glichte die Entstehung zahlreicher Projekte, wie zum Beispiel die Einf\u00fchrung des Linux-Kernels im Jahr 1991 oder die Open-Source-Lizenzierung des Netscape Navigators im Jahr 1998 (der als Grundlage f\u00fcr die sp\u00e4tere Entwicklung der Mozilla-Suite diente). Im Jahr 2001 wurde Wikipedia zu einem der bekanntesten Projekte der Open-Source-Bewegung, mit dem Ziel, das kollektive Wissen zu nutzen, um die gr\u00f6\u00dfte Wissensbibliothek des Internets zu schaffen. In der Folge zeugten die Einf\u00fchrung von Android durch Google im Jahr 2008 sowie die Gr\u00fcndung von GitHub<\/a> im selben Jahr von der zunehmenden Integration von Open Source in die Technologien f\u00fcr Verbraucher und die Infrastruktur f\u00fcr die Softwareentwicklung. <\/strong>Der H\u00f6hepunkt dieser zumindest vordergr\u00fcndigen Integration wurde 2014 durch die Rede von Satya Nadella, CEO von Microsoft erreicht, der erkl\u00e4rte: \u201eMicrosoft liebt Linux\u201c. In der Open-Source-Gemeinschaft erinnern sich jedoch viele noch an die Worte seines Vorg\u00e4ngers Steve Ballmer<\/a>, der Open Source als \u201eKrebs, der im Hinblick auf geistiges Eigentum alles bef\u00e4llt, was er ber\u00fchrt<\/em>\u201c kategorisierte.<\/p>\n Aus wirtschaftlicher Sicht ist Open Source ein besonderes Gesch\u00e4ftsmodell, denn wenn ein Projekt Open Source ist, k\u00f6nnen Varianten davon erstellt werden, die sich der Kontrolle des urspr\u00fcnglichen Entwicklungsunternehmens entziehen. Das Gesch\u00e4ftsmodell dreht sich haupts\u00e4chlich um Dienstleistungen oder auch um die Wartung (alles bis auf Lizenzen). Das finanzielle Interesse von Entwicklungsunternehmen liegt folglich eher darin, Bausteine oder Anwendungen in Open Source zu \u00fcbernehmen, vorausgesetzt, sie kennen die Einschr\u00e4nkungen jeder Lizenz, wie David Gueluy<\/strong>, R&D Manager und Technical Advisor bei Stormshield, betont: \u201eEin wichtiger Aspekt der GPL-Lizenz ist, dass sie die Weiterverbreitung von \u00c4nderungen am Quellcode fordert. Diese Verpflichtung hat zu komplexen rechtlichen Situationen f\u00fcr einige Publisher gef\u00fchrt, die mit Forderungen nach Ver\u00f6ffentlichung ihres gesamten Quellcodes konfrontiert wurden \u2013 selbst wenn es nur um ein winziges St\u00fcck GPL-Code ging, das in ein sehr gro\u00dfes Programm integriert wurde\u2026<\/em>\u201c Im Gegensatz dazu bieten Lizenzen wie BSD, MIT oder Apache mehr Flexibilit\u00e4t und erlauben es Unternehmen, den Code zu \u00e4ndern und zu verwenden, ohne die Verpflichtung, die \u00c4nderungen \u00f6ffentlich bereitzustellen. Dies steigert die Attraktivit\u00e4t der Nutzung und Entwicklung von Open-Source-Projekten f\u00fcr Unternehmen \u2013 das schl\u00e4gt sich auch in Statistiken von Microsoft<\/a> nieder, denen zufolge 60% der in der Azure-Cloud gehosteten Images auf dem Linux-Kernel oder auf Open-Source-Software basieren. \u201eEs bringt mich immer wieder zum Schmunzeln, wenn ich lese, dass immer mehr Projekte auf Open Source setzen oder dass Open Source an dieser oder jener Stelle eine herausragende Rolle spielt<\/em>\u201c, lacht Yvan Vanhullebus. \u201eIst das wirklich ein aktueller Trend, oder f\u00e4llt es jetzt erst auf?<\/em>\u201c Denn die Nutzung von Open Source ist ein Ph\u00e4nomen, das alle Bereiche erfasst, bis hin zur Konzeption und Entwicklung von Produkten f\u00fcr die Cybersicherheit.<\/strong><\/p>\n Es bringt mich immer wieder zum Schmunzeln, wenn ich lese, dass immer mehr Projekte auf Open Source setzen oder dass Open Source an dieser oder jener Stelle eine herausragende Rolle spielt<\/em>. Ist das wirklich ein aktueller Trend, oder f\u00e4llt es jetzt erst auf?<\/em><\/p>\n <\/p>\n Wie immer findet man auch bei Open Source Bef\u00fcrworter und Kritiker. Unter den Kritikern von Open Source werden verschiedene Themen diskutiert: Die erste Debatte, die nun schon drei\u00dfig Jahre zur\u00fcckliegt, drehte sich um die Frage, ob der Open-Source-Ansatz selbst funktionieren kann. \u201eVon Anfang an und bei den ersten Projekten konnte diese Frage beantwortet und diese Debatte ziemlich schnell entschieden werden\u201c<\/em>, erl\u00e4utert Yvan Vanhullebus. \u201eAnkn\u00fcpfend daran wechselte man zur n\u00e4chsten Frage: Sollte die Nutzung von Open-Source-Tools nur langhaarigen Nerds mit Brille vorbehalten sein?<\/em>\u201c Diese zweite Debatte dauert je nach Milieu und Branche zwar immer noch an, ist jedoch mit der Ann\u00e4herung von Open Source und UX deutlich abgeflaut. Das dritte Streitthema bezieht sich schlie\u00dflich speziell auf die Cyberwelt: Kann ein Cybersicherheitsprodukt, das auf Open-Source-Bausteine zur\u00fcckgreift, zuverl\u00e4ssig sein? Im Mittelpunkt steht die Bef\u00fcrchtung, dass ein Cyberkrimineller eine Schwachstelle entdeckt \u00a0mit der Absicht sie auszunutzen, wie es bei Schwachstellen wie Heartbleed im OpenSSL-Projekt, die 2012 entdeckt wurde, oder Log4J, die 2021 entdeckt wurde, der Fall ist. Ein weiteres Argument der Kritiker von Open Source bezieht sich auf die M\u00f6glichkeit, dass b\u00f6swillige Akteure zu einem Open-Source-Projekt beitragen k\u00f6nnen, indem sie Schwachstellen einbauen, die wie einfache Bugs aussehen k\u00f6nnten... In einem Bericht aus dem Jahr 2020<\/a> argumentierte GitHub, dass 17% der Softwarefehler auf der Plattform von b\u00f6swilligen Akteuren absichtlich im Code platziert worden waren. Die Kompromittierung der XZ-Bibliothek<\/a>, eines grundlegenden Bausteins, der in der Linux-Umgebung verwendet wird, trug einige Jahre sp\u00e4ter zu dieser Statistik bei. Ende M\u00e4rz 2024 gab ein Microsoft-Mitarbeiter<\/a> eine Warnung an die Open-Source-Gemeinschaft heraus, nachdem er auf eine Anomalie in XZ-Paketen gesto\u00dfen war. Dieser schrittweise Angriff, der seither unter CVE-2024-3094<\/a> gef\u00fchrt wird, vermischt Techniken des Social Engineering mit einer langfristigen Vorbereitung (zwischen Monaten und Jahren), um schrittweise und unauff\u00e4llig eine Backdoor einzuschleusen. Ein potenzieller gro\u00df angelegter Supply-Chain-Angriff<\/em>, der gerade noch rechtzeitig verhindert werden konnte...<\/p>\n Aber Open Source hat auch (und vor allem) Bef\u00fcrworter: Sie erl\u00e4utern ihrerseits, dass Open Source aufgrund seiner Transparenz und der gemeinschaftlichen Zusammenarbeit die Sicherheit steigert.<\/strong> Dies liegt darin begr\u00fcndet, dass der Zugang zum Quellcode es einfacher macht, Schwachstellen zu erkennen, und sie folglich schneller behoben werden k\u00f6nnen als bei einem \u201eBlack-Box\u201c-Ansatz, bei dem die Sichtbarkeit eingeschr\u00e4nkt ist. David Gueluy stimmt diesem Punkt zu: \u201eWas am Sicherheitsaspekt von Open-Source-Projekten bemerkenswert ist, ist die Idee, dass man die Software selbst \u00fcberpr\u00fcfen kann: Man kann selbst verifizieren, dass der Code nichts Ungew\u00f6hnliches und keine Hintert\u00fcren enth\u00e4lt \u2013 oder dass man Probleme zumindest selbst beheben kann, falls doch welche auftreten sollten.<\/em>\u201c<\/p>\n Was am Sicherheitsaspekt von Open-Source-Projekten bemerkenswert ist, ist die Idee, dass man die Software selbst \u00fcberpr\u00fcfen kann: Man kann selbst verifizieren, dass der Code nichts Ungew\u00f6hnliches und keine Hintert\u00fcren enth\u00e4lt \u2013 oder dass man Probleme zumindest selbst beheben kann, falls doch welche auftreten sollten.<\/em><\/p>\n Und genau das ist bei Heartbleed, Log4J und der XZ-Kompromittierung der Fall: Die Reaktionsf\u00e4higkeit und die Zusammenarbeit der Open-Source-Gemeinschaft waren entscheidend f\u00fcr die L\u00f6sung dieser Probleme. Anzumerken ist, dass es trotz des L\u00e4rms, der um die XZ-Kompromittierung gemacht wurde, wichtig ist, darauf hinzuweisen, dass es sich dabei weder um ein neues Ph\u00e4nomen noch um eine Besonderheit der Open-Source-Welt handelt. Ende 2020 war die Malware Sunburst in die Entwicklungskette der Orion-Software des Unternehmens SolarWinds eingeschleust worden. Insgesamt sollen weltweit mehr als 18.000 Unternehmen und Institutionen von diesem Angriff betroffen gewesen sein. Eine Episode, die verdeutlicht, dass auch L\u00f6sungen, die nicht Open Source sind, anf\u00e4llig f\u00fcr Schwachstellen bleiben.<\/strong><\/p>\n Dieser Open-Source-Ansatz wird auch von \u00f6ffentlichen Stellen unterst\u00fctzt, wie z. B. der ANSSI in Frankreich. Das franz\u00f6sische Pendant zum BSI ist an zahlreichen Open-Source-Projekten beteiligt, sei es durch Beitr\u00e4ge ihrer Mitarbeiter oder durch die Ver\u00f6ffentlichung mehrerer Tools. Diese Investition \u201eentspricht einer echten Herausforderung f\u00fcr die Sicherheit und Souver\u00e4nit\u00e4t, um Gemeing\u00fcter zu sch\u00fctzen und zukunftsweisende Technologien und L\u00f6sungen zu f\u00f6rdern<\/em>\u201c.<\/strong> Diese Vorgehensweise unterst\u00fctzt aktiv die Entwicklung von freier Software wie Linux, der Debian-Distribution oder der Suricata-Software. Denn an Open-Source-Projekten im Bereich der Cybersicherheit mangelt es nicht. David Gueluy erw\u00e4hnt Vault, \u201eeine der L\u00f6sungen des Open-Source-Unternehmens HashiCorp, welche die sichere Speicherung von Secrets erm\u00f6glicht<\/em>\u201c. Weitere Beispiele sind KeePass (ein Passwortmanager), TheHive (eine Incident-Response-Plattform), Metasploit Framework (ein Tool f\u00fcr Penetrationstests) und MISP (eine Plattform f\u00fcr den Austausch von Informationen \u00fcber Cyberbedrohungen) \u2013 all diese Projekte beweisen den Einfluss von Open Source hinsichtlich der Entwicklung robuster Cybersicherheitsl\u00f6sungen.<\/strong> OpenSSL, das im Open Source Security Index<\/a> unter die Top 10 gew\u00e4hlt wurde, ist zum Beispiel eines der wichtigsten Projekte f\u00fcr sichere Kommunikation, das sowohl in kommerziellen Produkten als auch in Open-Source-L\u00f6sungen eingesetzt wird. \u201eDer Vorteil von OpenSSL f\u00fcr Unternehmen besteht darin, dass sie Zugang zu einer bereits bew\u00e4hrten und von der Community weitgehend best\u00e4tigten Krypto-Bibliothek erhalten, so dass sie nicht bei Null anfangen m\u00fcssen<\/em>\u201c, erkl\u00e4rt David Gueluy. Und genau hier liegt der Kern des Problems: Ein neues Produkt zu entwickeln, das nicht auf Open-Source-Technologie basiert, w\u00e4re \u2013 abgesehen von Nischenprodukten \u2013 illusorisch, da es erhebliche Investitionen in die (Weiter-) Entwicklung bereits verf\u00fcgbarer Bausteine erfordern w\u00fcrde, deren Aufbau Jahre gedauert hat. Und erst wenn man dies verinnerlicht hat, kann man einen positiven Kreislauf in Gang setzen, indem man sicherstellt, dass die Versionen der Open-Source-Bausteine auf potenzielle Schwachstellen hin \u00fcberpr\u00fcft werden, indem man bei der Entdeckung potenzieller Schwachstellen schnell Patches ver\u00f6ffentlicht und indem man zu Projekten beitr\u00e4gt (Patches, Funktionen, Finanzierung usw.).<\/p>\n <\/p>\nYvan Vanhullebus<\/strong>, Technical Leader Stormshield<\/pre>\n<\/blockquote>\n
Urspr\u00fcnge von Open Source<\/h2>\n
Richard Stallman<\/strong>, Programmierer und Aktivist f\u00fcr freie Software<\/pre>\n<\/blockquote>\n
Open Source: Entwicklung hin zur gemeinschaftlichen Zusammenarbeit<\/h2>\n
Yvan Vanhullebus<\/strong>, Technical Leader Stormshield<\/pre>\n<\/blockquote>\n
Die Bedeutung sicherer offener \u00d6kosysteme<\/h2>\n
David Gueluy<\/strong>, R&D Manager und Technical Advisor Stormshield<\/pre>\n<\/blockquote>\n