Open Source im Enterprise – trotz Log4J

Ohne die stark wachsende Anzahl von Open-Source-Software funktionieren heute schlichtweg weder SAP-Systeme noch die meisten modernen Unternehmen. Aktuell warnen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Fachpresse – wie unser E-3 Magazin – mit „Warnstufe Rot“ vor einer schwerwiegenden Sicherheitslücke in der weitverbreiteten Log4J-Software. Diese Lücke ist auch deshalb so kritisch, weil sie Hackern nicht nur ein unbemerktes Eindringen in Firmennetze erlaubt, sondern die Installation von nur schwer (wenn überhaupt) auffindbaren Hintertüren und die Installation von umfangreichem Schadcode in Firmensystemen ermöglicht. Dieser kann dann selbst nach erfolgreichem Update von Log4J erst viel später und hiervon unabhängig für kriminelle Angriffe genutzt werden.

Auch wenn dies für viele nach einem theoretischen Risiko klingt, wurden leider schon viele Systeme angegriffen, erfolgreich kompromittiert und ein großer Schaden angerichtet. Im Gegensatz zur SAP-Software gibt es für Open-Source-Software in der Regel keine automatischen Updates und keine Hinweise wie SAP-Notes (für Log4J hat SAP eine spezielle SAP-Note erstellt). Erschwerend hinzu kommt, dass Log4J – wie viel Open-Source-Software – integraler und versteckter Bestandteil von vielen weiteren Komponenten und Lösungen ist, was die Suche erschwert und aufwändig macht.

Wichtig ist, dass der Einsatz von Open-Source-Komponenten im Unternehmen durch einen professionellen Prozess geregelt und überwacht wird. Hierfür stehen spezielle Lösungen, wie die des Mannheimer Start-ups VersionEye oder Snyk aus Israel zur Verfügung. Beide Lösungen kennen nicht nur die aktuelle Version von einzelnen Komponenten, sondern können auch ineinander verschachtelte Stücklisten von Open-Source-Komponenten überwachen; wissen also, wo Komponenten auch noch verbaut wurden. Darüber hinaus liefern diese Lösungen weitere wichtige Informationen, wie zur Qualität (zum Beispiel Updatefrequenz oder Verbreitung), bekannte Sicherheitslücken und zugrunde liegende Lizenz-typen. Sie können Entwickler automatisch warnen, wenn Risiken erkannt oder gegen Firmenstandards verstoßen wird, wie das beispielsweise bei einem Einsatz nicht genehmigter Open-Source-Komponenten der Fall ist.

Da durch die immer wichtigeren, komplexeren und ständigen Änderungen ausgesetzten IT- und SAP-Welten Cyberangriffe auf Unternehmen und deren Wertschöpfungsketten zunehmen, wird neben der Open-Source-Überwachung auch die der zugrunde liegenden Infrastruktur wie Server und Netzwerke immer wichtiger. Obwohl dies noch komplexer als die Open-Source-Überwachung ist, sollte man dennoch unverzüglich beginnen und sich ein Bild der aktuellen Risikolage im eigenen Unternehmen verschaffen. Neben detaillierten Informationen zur Sicherheitslage liefern moderne Lösungen, wie beispielsweise LocateRisk aus Darmstadt oder die deutlich ältere Security-Scorecard aus New York, auch einen Vergleich mit ähnlichen Firmen (Peer-Group), damit man messen kann, wo man aktuell bei der eigenen Cyber-Sicherheit steht.

Darüber hinaus werden meist noch Empfehlungen für die Behebung erkannter Probleme und zur Verbesserung der eigenen Sicherheitslage gegeben. So bietet beispielsweise LocateRisk einen speziellen Service, um die aktuelle Log4J-Bedrohung schneller zu erkennen und zu beheben. Wichtig ist, dass die Open-Source- und die Infrastruktur-Überwachung möglichst konfigurationsfrei und hochautomatisiert erfolgen und sie sich – bei Bedarf – in bereits vorhandene Systeme und Dashboards integrieren lassen.

Auch wenn die aktuellen weltweiten Lieferketten-Störungen (zumeist) nicht durch Cyber-Security-Angriffe, sondern unter anderem durch die Covid-19-Pandemie ausgelöst wurden, könnte sich das ändern. Einige Konzerne lassen daher bereits heute ihre wichtigen Lieferanten durch Cyber-Security-Monitoring-Lösungen überwachen oder verlangen Open-Source-Audits, so wie beispielsweise SAP bei Partnern mit Lösungen auf der SAP-Preisliste.