Erweiterte Suche

Cybersecurity

Open-Source-Software

Digitale Lieferketten und ihre sozialen Gemeinschaften

Welche Bedeutung Open-Source-Software für Kritische Infrastrukturen hat, hat das US-Verteidigungsministerium erkannt und fördert deshalb Forschung zu den sozialen Aspekten der quelloffenen Software. In Deutschland verweist die Open Source Business Alliance auf die Bedeutung für Software-Lieferketten.

Jens Ohlig

von Jens Ohlig

veröffentlicht am 25.07.2022

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

Überall ist Open Source. Der Kernbaustein fast aller Cloud-Server, praktisch aller Supercomputer, des gesamten Internets der Dinge, von Milliarden von Android-Telefonen und vielem mehr wird von dem freien Open-Source-Betriebssystem Linux angetrieben. Ohne Übertreibung lässt sich sagen: Für die Infrastruktur der digitalen Welt leistet Open Source einen lebenserhaltenden Beitrag.

Entwickelt hat sich die Praxis der Software, zu der alle Menschen beitragen können, aus der akademischen Welt. Open Source ist ein beständig laufendes globales Peer Review, bei dem Änderungsvorschläge jederzeit eingereicht werden können. Der Vorteil der Open-Source-Bestandteile des Internets: Sicherheitslücken werden durch viele aufmerksame Augenpaare schneller entdeckt und behoben.

Angriffsvektor cybersoziale Operation bei Open Source

Doch Cybersicherheitsexpert:innen im US-Militär bereitet genau diese Offenheit der Software-Infrastruktur Kopfschmerzen. Ermöglicht die radikale Transparenz und Akzeptanz bei der Entwicklung des Linux-Kernels und anderer kritischer Open-Source-Software feindliche Manipulationen und Beiträge aus unklaren Quellen, deren Auswirkungen auf die Sicherheit noch viel zu wenig erforscht ist?

Die US-amerikanische Bundesbehörde für Forschungsprojekte im Verteidigungsministerium DARPA hat deshalb das Projekt „Social Cyber“ ins Leben gerufen. Erforscht werden sollen die Identifikation und Bekämpfung von sogenannten cybersozialen Operationen, die sich gegen Open-Source-Communities richten. Darunter kann bösartiges oder unsoziales Verhalten in der Gemeinschaft fallen, etwa fehlerhafte Code-Einsendungen oder -Designs, aber auch Social-Media-Kampagnen gegen Open-Source-Entwickler:innen, die auf Programmierfehler aufmerksam machen. Projekte können aber auch durch Debatten gelähmt werden, etwa durch irreführende Fehlerberichte, verschleiernde technische Diskussionen und die soziale Vereinnahmung der funktionalen Autorität in Open-Source-Projekten – kurz: Trollerei. Jetzt soll im Social Cyber-Projekt unter anderem der Textkorpus der Onlinedebatten in den Projekten mit Hilfe einer hybriden Künstlichen Intelligenz untersucht werden, um die Grenzen zwischen gemeinschaftsunfähigen und destruktiven Verhalten in Diskussionen und dem feindseligen Cyberangriff auf die Open-Source-Infrastruktur auszuloten.

Nicht explizit in der Cybersicherheitsagenda benannt

Bei der DARPA hat man die Bedeutung von Open Source erkannt: „Das Verteidigungsministerium ist in seiner gesamten Lieferkette stark von Open-Source-Software abhängig, darunter Betriebssysteme, Virtualisierungssysteme und Hypervisoren sowie Tools für die Softwareentwicklung“, stellt sie fest. Die Verwendung von Open-Source-Software durch das Verteidigungsministerium spare Kosten, erhöhe die Wartungsfreundlichkeit und ziehe talentierte Entwickler:innen an, schaffe aber auch eine noch nie dagewesene Angriffsfläche, bei der viele vertrauenswürdige Softwareteile und -pfade für feindliche Manipulationen anfällig sind: „Manipulatoren können die gesamte Bandbreite sozialer Mechanismen und Anreize nutzen, die das soziotechnische Ökosystem von Open-Source-Software so wertvoll machen.“

Während die strategische Bedeutung von Open Source in den USA die Förderung von Forschung begründet, findet sich in der kurz vor der Sommerpause von Bundesinnenministerin Nancy Faeser (SPD) vorgestellten Cybersicherheitsagenda keine expliziten Überlegungen, die Open-Source-Software in die cyberstrategischen Überlegungen der Bundesregierung einbeziehen. Für Elmar Geese, Sprecher der Arbeitsgruppe Security der Open Source Business Alliance, ist es bedauerlich, dass strategisch Vorteile von Open Source wie die bessere Prüfbarkeit der Codebasis in der Cybersicherheitsagenda nicht erwähnt werden: „Leider finden wir dazu nichts Explizites in der Cyberagenda. Da aber die strategischen Vorteile zweifellos gegeben sind, gehen wir davon aus, das Open Source seinen Platz in der Cybersicherheitsstrategie hat.“

Der im Jahr 2011 gegründete Verein „OSB Alliance – Bundesverband für digitale Souveränität e.V.“, der Open-Source-Software und andere offene Kollaborationsformen fördern will, zählt neben IT-Herstellern und Bildungs- und Forschungseinrichtungen auch Einzelpersonen zu seinen Mitgliedern. Die 170 Mitgliedsunternehmen aus der Open-Source-Wirtschaft, die in der OSB Alliance organisiert sind, erwirtschaften nach Angabe des Verbands in Deutschland gemeinsam jährlich mehr als 1,7 Milliarden Euro.

Open-Source-Komponenten in fast allen Softwareprodukten

Cybersicherheitsstrategische Überlegungen zu Open-Source-Komponenten oder -Produkten sind dabei nicht nur aufgrund der starken Verbreitung von Open-Source – auch als Komponente in proprietärerer Software – aus Sicht der OSB Alliance geboten: „99 Prozent der Produkte enthalten Open Source. Die durchschnittliche Anzahl der Open-Source-Komponenten stieg dabei von 298 (2018) auf 445 (2020), das ist ein Anstieg von fast 50 Prozent in zwei Jahren“, erläutert der Verein in einer Publikation zum Thema Sicherheit von Open-Source-Software.

Dass Open Source als Teil einer Cybersicherheitsstrategie mitgedacht werden muss, ist für Geese von der OSB Alliance deshalb auch eine Selbstverständlichkeit: „Eine Überprüfbarkeit auf Quellcodeebene, wie wir sie bieten können, lässt sich durch kein anderes Verfahren in dieser Qualität erreichen.“

Von der Politik wünscht sich Geese deshalb Verständnis für die Verbreitung und Wichtigkeit von Open Source etwa in Kritischen Infrastrukturen: „Open Source wird häufig noch als technische Herausforderung gesehen, und nicht immer wird der strategische Mehrwert wahrgenommen. Überall wo eine Open-Source-Lösung machbar ist, gibt es keinen Grund, nicht darauf zu setzen, im Gegenteil. Ich erwarte von Politiker:innen nicht unbedingt, in jedem Bereich über vertiefte Expertise zu verfügen. Mehr Verständnis dafür, dass ein offenes Produkt, noch dazu mit herausragenden Nutzungsrechten ausgestattet, besser ist als ein proprietäres Produkt mit all seinen Abhängigkeiten wäre natürlich wünschenswert.“

Auch wenn in der Cybersicherheitsagenda Open Source eine Leerstelle ist: Auch in der Politik ist in den vergangenen Jahren das Verständnis für Open Source gewachsen. Pauschal will Geese deshalb nicht über Politiker:innen urteilen: „Gerade im öffentlichen Bereich gibt es viele gute Open-Source-Vorhaben, und es ist immer wieder auch und gerade mit Open Source möglich, hier Ausschreibungen zu gewinnen. Diejenigen, die in den Verwaltungen diese Projekte durchführen, sind sicherlich über politische Unterstützung froh.“

Überprüfbarkeit der digitalen Lieferkette

Der lebenserhaltende Beitrag von Open Source zum digitalen Ökosystem macht sich gerade in sicheren Software-Lieferketten bemerkbar: Um diese abzusichern, müssen sowohl das Software-Verhalten, wie auch die Quelltexte der Software überprüft werden. Im Gegensatz zu proprietärer Software, bei der eine solche Prüfung von unabhängiger Seite entweder gar nicht oder nur sehr schwer und aufwändig möglich ist, hat Open-Source-Software in diesen Bereich unbestreitbare Vorteile.

Doch Open Source bringt in ihrer Offenheit eine eigene Problemklasse mit sich – der soziale Umgang der Entwickler:innen bei der Zusammenarbeit, also genau der Angriffsvektor, den die DARPA mit Social Cyber erforschen will. Woher soll das Vertrauen und die Nachprüfbarkeit kommen, wenn Beiträge zum gemeinsamen Code von potenziell allen Menschen überall in der Welt eingereicht werden können – gerne auch unter Pseudonym und ohne, dass sich die Mitarbeitenden am Software-Projekt jemals zu Gesicht bekommen habe? Wie ist sichergestellt, dass „Hein23“ von gestern auch heute noch die gleiche Person ist, auch wenn diese einen neuen Account anlegt?

Geese schlägt an dieser Stelle etwas vor, was vielleicht als cybersoziale Maßnahme bezeichnet werden könnte: Geprüfte (pseudonyme) Identitäten der Entwickler:innen sollen die Vertrauenswürdigkeit in die Lieferkette zu erhöhen. Hier sieht er auch Regulierungsbedarf: „Letzten Endes muss ja für Qualität, Funktionalität, Sicherheit eine eindeutige Verantwortlichkeit gerade in der Lieferkette sichergestellt sein. Open-Source-Hersteller können das leisten. Wenn die öffentliche Hand direkt von Entwickler:innen beliefert wird, will sie natürlich sicherstellen, wer da was wo einbaut, bevor sie die Komponenten verwendet oder gar verteilt. Insofern ist ein solches Verfahren ein guter Weg, um Sicherheit zu steigern und dabei auch Personen am Prozess zu beteiligen, die ihre Identität nicht offenbaren wollen“.

In ihrer Forschung zur Cybersicherheit in den sozialen Aspekten von Open-Source-Software unterstreicht die DARPA die strategische Bedeutung von der quelloffenen Software: Die freien Komponenten und Programme sind nicht nur ein Geschenk, das Entwickler:innen aus Nettigkeit der Welt machen, sondern die Grundlage für die Überprüfbarkeit von Infrastruktur und Lieferketten. Aus diesem Grund ist für Geese von der OSB Alliance der offene Code alternativlos: „Lieferketten sind bei Open Source überhaupt überprüfbar. Das ist der große Vorteil der Quelloffenheit. Lieferkettensicherheit in der digitalen Welt ist eine Herausforderung, und noch nicht alle Probleme sind gelöst. Das gilt besonders für proprietäre Produkte.“

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen