Der mangelhafte Schutz gegen Ausspähung, Analyse, Verarbeitung und Weitergabe von Daten macht die löchrige Sicherheit von Applikationen zu einem brisanten Thema. Die Antwort darauf ist Open Source.

Das Hase-Igel-Spiel zwischen Anwendern und Cyberkriminellen begleitet die IT seit der Popularisierung der Computertechnologie und wird auf vielen verschiedenen Ebenen ausgetragen. Die Anstrengungen zum Schutz von Daten, Personen und Unternehmen konzentrieren sich dabei fast schon traditionell auf die Sicherung von Servern, Storage-Systemen und Übertragungswegen. Anwendungen dagegen waren bislang eine häufig unterschätzte Angriffsfläche.

Die in der Pandemie massenhaft gemachten Erfahrungen speziell mit unsicheren Kommunikations- und Kollaborations-Tools hat jedoch die Anfälligkeit von Applikationen gegen Ausspähung, Datenmissbrauch und Diebstahl geistigen Eigentums in den Blickpunkt gerückt. So sorgen beispielsweise Meldungen über Sicherheitslücken in bestimmten, aktuell für die Arbeit im Home Office so wertvollen Videokonferenzsystemen für massive Verunsicherung.

Legitim, legal, illegal. Dabei darf nicht übersehen werden, dass die Korrumpierung vertraulicher Informationen nicht immer das Resultat strafrechtlich relevanter Aktivitäten sind – im Gegenteil. US-Unternehmen handeln vielmehr im Rahmen der ihnen vorgegebenen Rechtsvorschriften des Cloud Act, wenn sie Daten ihrer Nutzer an die Behörden und Geheimdienste ihres Heimatlandes weitergeben. Und für eine wachsende Zahl von Applikationen gehört die Sammlung und Analyse von Nutzerdaten sowie deren Weitergabe für Marketingzwecke zum ganz normalen Geschäftsmodell der Anbieter, meist ebenso verschämt wie nichtssagend verbrämt als »Maßnahmen zur Verbesserung der Nutzerfahrung«.

An den fatalen Folgen für die Sicherheit der Anwender und ihrer Daten ändert das nichts. Sie verlieren so trotz formeller Korrektheit die digitale Kontrolle über ihre eigenen Informationen, die Sicherheit ihrer Transaktionen und ihre Unverletzlichkeit ihrer Integrität. Das mag legal sein, legitim ist es nicht. Deshalb ziehen immer mehr Unternehmen die einzig richtige Konsequenz und verbieten Apps wie Zoom oder WhatsApp für die professionelle Nutzung. Es sind also nicht nur illegale oder kriminelle Attacken, die die Sicherheit von Nutzern und deren Daten gefährden.

Gefangen in der Black Box. Bei der Suche nach sicheren Alternativen hilft die Beobachtung, dass viele der für Attacken anfälligen, oder bewusst mit anbieterexklusiven Hintertüren versehenen Anwendungen nach dem Black-Box-Prinzip funktionieren. Der Programmcode ist streng geheim (Closed Source), darf auch vom Käufer und Nutzer weder eingesehen noch verändert werden und die Anwendung wird ausschließlich als Software-as-a-Service (SaaS) auf eigenen Hosts angeboten. Digitale Souveränität und Schutz der Anwender sieht anders aus. Dazu kommt, dass in der deutschen Datenschutzgrundverordnung DSGVO, beziehungsweise der europäischen GDPR (General Data Protection Regulation) die Prinzipien des Privacy by Design (Einsatz datenschutzfreundlicher Technologie) und Privacy by Default (Verpflichtung zu datenschutzfreundlichen Standardkonfigurationen) verbindlich vorgeschrieben sind. Doch nach wie vor ist bei vielen dieser Anwendungen nicht ersichtlich, welche Daten sie abgreifen und was damit passiert. In der DSGVO ist zudem verbindlich verankert, dass jeder IT-Verantwortliche – und das kann auch ein Team- oder Abteilungsleiter sein – jederzeit in der Lage sein muss, die Software, die er nutzt und bezahlt, zu auditieren. Aber kaum ein Anbieter erlaubt diese Prüfung oder bietet zumindest technisch die Voraussetzungen dafür. Es ist also fraglich, ob Closed-Source-Applikationen überhaupt DSGVO-konform sein können.

VNCtalk-Video-meeting: Der Videokonferenz-Boom hat die mangelhafte Sicherheit von Anwendungen ins Blickfeld gerückt.

Open Source steht für Transparenz und Kontrolle. Unternehmen die nicht länger bereit sind, diese nur den Anbietern nutzende Hermetik von Closed-Source-Angeboten zu akzeptieren, bleibt als Alternative die Entscheidung für Open-Source-Anwendungen. Ihre Codebasis ist offen, also jederzeit unabhängig überprüf- und auditierbar. Für Applikationen werden in der Regel bewährte offene Entwicklungs-Tools und Basistechnologien eingesetzt, die durch eine weltweite Entwickler-Community ständig kontrolliert und optimiert werden. Auf diesem Fundament können dann Applikationen entwickelt werden, die sich auf die durchschnittlich rund 20 Prozent der für den Geschäftserfolg relevanten Funktionalität und deren Sicherheit konzentrieren. Die riesige Zahl von Open-Source-Experten sorgt auch dafür, dass Sicherheitslücken weitaus schneller offengelegt und beseitigt werden, als das die vergleichsweise winzige Programmiererpopulation selbst der größten Closed-Source-Anbieter könnte.

Wichtig ist neben der Qualität und Integrität des Codes auch die freie Wahl des Bereitstellungsformats, also des Hostings. Sicherheitsbewusste Anbieter lassen Anwendern die freie Wahl zwischen der Bereitstellung der Anwendungen auf eigenen Servern (on-premises), als SaaS über die eigene Private Cloud, als SaaS-Angebot des Anbieters oder als SaaS-Dienst über einen beliebigen, selbst zu bestimmenden Provider. Das sichert Unternehmen die Transparenz und Kontrolle über ihre Applikationen.

Open Source erleichtert das Risikomanagement. Unternehmen gehen gleich mehrfach ein hohes Risiko ein, wenn sie den Einsatz intransparenter und unkontrollierbarer Tools und Applikationen zulassen. Sie müssen einerseits den unkontrollierten Abfluss unternehmenskritischer Daten befürchten, mit allen daraus möglicherweise erwachsenden negativen Konsequenzen für die Wettbewerbssituation und den Wert des Unternehmens. Andererseits sind sie ständig im Fadenkreuz der rechtlichen Vorgaben und müssen bei Verstößen mit herben Strafen rechnen. Und das unkalkulierbare Risiko, bei erfolgreichen Cyberattacken von Kunden und Partnern wegen Verstößen gegen die Datenschutzgesetze regresspflichtig gemacht zu werden, sollte Anlass genug für größte Sorgfalt bei der Wahl der Software sein. Die beste Prophylaxe gegen solche Szenarien ist die Offenheit, Transparenz und Auditierbarkeit von Open Source.

Andrea Wörrlein ist Verwaltungsrätin
bei der VNC AG (Schweiz) und Geschäftsführerin
der VNC GmbH (Deutschland)

Bilder: © Victoria Novak /shutterstock.com, VNC

1033 Artikel zu „Open Source“

NEWS | IT-SECURITY | ONLINE-ARTIKEL

Schluss mit den Vorurteilen – Open Source ist sicher

9. Februar 2021

Open Source ist aus vielen Unternehmen nicht mehr wegzudenken, dennoch halten sich einige hartnäckige Vorurteile über die vermeintliche Unsicherheit quelloffener Lösungen. VNC, Entwickler von Open-Source-basierten Unternehmensanwendungen, räumt damit auf. Open Source ist eine Erfolgsgeschichte und kommt in unzähligen kleinen wie großen Unternehmen zum Einsatz. Selbst ein großer Softwarekonzern wie Microsoft, dessen ehemaliger Chef Steve…

Der mangelhafte Schutz gegen Ausspähung, Analyse, Verarbeitung und Weitergabe von Daten macht die löchrige Sicherheit von Applikationen zu einem brisanten Thema. Die Antwort darauf ist Open Source.

Andrea Wörrlein ist Verwaltungsrätin bei der VNC AG (Schweiz) und Geschäftsführerin der VNC GmbH (Deutschland)

Bilder: © Victoria Novak /shutterstock.com, VNC

1033 Artikel zu „Open Source“

Andrea Wörrlein ist Verwaltungsrätin
bei der VNC AG (Schweiz) und Geschäftsführerin
der VNC GmbH (Deutschland)