Open Source zählt zu den Trends in der Digitalbranche für das Jahr 2018. Aktuellen Umfragen unter Digitalunternehmern zufolge ist IT-Sicherheit ebenfalls ein bedeutendes Thema für die Branche. Warum also nicht beides kombinieren?
IT-Sicherheit und Open Source, das klingt zunächst nach einem Widerspruch, will man doch die eigene Sicherheitsstrategie am liebsten geheim halten. Aber gerade im Bereich Privacy Enhancing Technologies kann ein Blick auf die Open Source Community durchaus lohnenswert sein. Welche Vorteile bietet sich für Unternehmen auf Open Source Projekte im Anwendungsfall Privacy Enhancing Technologies zu setzen?
Exkurs: Was sind Privacy Enhancing Technologies (P.E.T.)? Darunter versteht man ein dediziertes Software-Modul, das die Sicherheit und Privatsphäre beim Anwender verbessert. Innerhalb der genutzten Software geschieht dies durch eine speziell für diesen Zweck entwickelte Komponente. Ein bekanntes Beispiel ist OMEMO für XMPP.
Vorteil Open Source für die IT-Sicherheit
Verantwortliche für Cybersicherheit dürfen Open Source nicht als Gegensatz zu ihren Bemühungen sehen. Setzt ein Unternehmen auf Closed Source-Produkte (proprietäre Software) muss es grundsätzlich dem Autor des Codes beziehungsweise dem Software-Anbieter Vertrauen entgegenbringen. Oft fehlt das richtige Wissen, um nachzuvollziehen, wem man vertrauen kann und wem nicht. Dies ist vor allem in Branchen der Fall, in denen es noch an digitaler Kompetenz mangelt.
Bei Open Source hingegen ist der Quellcode von Anfang an ersichtlich und dem User steht es frei, alle Bestandteile genauer anzusehen. Möglich ist dies auf Plattformen der Open Source Community wie beim Branchenführer Github. Ein Vorteil von Open Source liegt in ihrer Gemeinschaft. Selbst wenn man keine Zeit hat, Quellcodes zu überprüfen, kann man davon ausgehen, dass den Mitgliedern der Community der Code bekannt ist und entsprechend bewertet wurde. Dies ist für Unternehmen eine nicht zu unterschätzende Zeitersparnis. Zudem müssen keine eigenen Ressourcen für die Analyse von eingekaufter Software bereitgestellt werden.
Möchten Unternehmen sich auch an der Entwicklung von Open Source Software beteiligen, sollten vorab ein paar Aspekte beachtet werden. Wichtiges Know-how kann abwandern oder wird der Konkurrenz preisgegeben. Zudem ist es ratsam, daran das Geschäftsmodell anzupassen.
Die richtige Auswahl treffen – Gute Open Source P.E.T erkennen
Auch wenn man sich auf ein großes Netzwerk stützen kann, ist es besonders im Bereich der professionellen IT-Sicherheit notwendig, dass stets ein Ansprechpartner erreichbar ist. Ein vorhandener Support ist ein Qualitätsmerkmal von Open Source. Bevor der Entschluss zu Open Source P.E.T fällt, sollte ein Support ausfindig gemacht und kontaktiert werden.
Ebenso gibt es einige Dinge, die bei der Arbeit mit Open Source P.E.T. beachtet werden müssen. Im Grunde ist dies dasselbe, was generell für alle Privacy Enhancing Technologies gilt. Man muss jederzeit aufpassen, dass sämtliche kritische Daten durch das P.E.T. geleitet werden. Um einen unerlaubten Zugriff und eine Fremdanalyse zu verhindern, darf dabei keine persönlich identifizierbare Information (PII) auf anderen Wegen übertragen und gespeichert werden.
Aktive Mitarbeit von Unternehmen an Open Source
Unternehmen können nicht nur Open Source in ihre Abläufe integrieren, sondern sich selbst aktiv an der Mitarbeit von freier Software beteiligen. Wenn eine Integration in die eigene Infrastruktur durchgeführt wird, bietet es sich nämlich an, allgemein nützliche Komponenten, auch als Open Source zu veröffentlichen. Denn je mehr ein Teil einer Software von Benutzern verwendet wird, desto wahrscheinlicher ist es, dass Bugs und Sicherheitsprobleme gefunden und entfernt werden.
Viele Cybergefahren können durch einfache Maßnahmen abgewendet werden. Es empfiehlt sich, die eigenen Mitarbeiter regelmäßig zu schulen und für aktuelle Angriffsszenarien zu sensibilisieren. Oft reichen schon kleine Veränderungen im Unternehmensalltag, um entsprechende Ergebnisse zu erzielen: regelmäßige Passwortänderungen oder Richtlinien für den Gebrauch von Privatgeräten. Auch eine klare Festlegung von Zuständigkeiten schützt vor Angriffen wie dem „CEO-Fraud“, der sich fingierte Mails im Namen der Geschäftsleitung zu Nutze macht. Ebenso benötigt die Einführung der Arbeit mit Open Source-Projekten Zeit und Verantwortung. Die Open Source Community bietet eine reichhaltige Vielfalt, die sich Unternehmen als Chance für ihre Digitalstrategie anbietet.
