Equifax Breach und die Folgen

Einer der Gründe liegt unter anderem in der lückenhaften Software Supply Chain für Open Source Software (OSS). Bei Equifax beispielweise konnten die Kundendaten durch ein Exploit der Apache Struts CVE-2017-5638 Schwachstelle gehackt werden. Apache Struts ist ein Framework zur Entwicklung von Java-Webanwendungen und als Open-Source-Komponente weit verbreitet. Das macht sie zum beliebten Angriffsziel für Cyberkriminelle.

Tatsächlich ist mehr als 50% des gesamten Codes in kommerziellen und IoT-Softwareprodukten Open Source. Softwareanbieter und IoT-Hersteller nutzen zwar die Vorteile von OSS, sind sich aber oft nicht den Risiken bewusst. Das zeigt auch eine Untersuchung von über 400 Softwareanbietern, IoT-Herstellern und In-House-Entwicklungsteams:

• Fehlende OSS-Policy: In nur 37% der befragten Unternehmen existieren Richtlinien zur Nutzung und Erfassung von Open Source. In den restlichen 63% der Unternehmen wird auf entsprechende Richtlinien verzichtet oder waren den Befragten  nicht bekannt.
• Fehlende Verantwortlichkeit: 39% der befragten Unternehmen verfügen über keinen verantwortlichen Ansprechpartner für OSS-Compliance bzw. waren den Befragten  nicht bekannt.
• Unbeachtete Best Practices: 33% der befragten Unternehmen tragen zu Open-Source-Projekten bei – davon haben jedoch 43% keine Richtlinien für die Nutzung und Erfassung von Open Source verankert (siehe „Fehlende OSS Policy“).

„Wir alle wissen um die enormen Vorteile von Open Source. Fertiger Code, der einfach und schnell genutzt werden kann, ermöglicht es, Produkte in kürzerer Zeit auf den Markt zu bringen”, erklärt Jeff Luszcz, Vice President of Product Management bei Flexera. „Wahr ist aber auch, dass die Mehrheit der Softwareentwickler den Einsatz von Open Source nicht nachverfolgt und die Mehrheit der Software Executives sich gar nicht bewusst ist, welches Sicherheits- und  Compliance-Risiko dadurch entsteht.“

Der Flexera Report belegt: Softwareanbieter und IoT-Unternehmen müssen mit der schnellen Verbreitung von Open Source Schritt halten und ihre Prozesse zum Management von Open-Source-Sicherheit und Lizensierung entsprechend anpassen. Andernfalls setzen sie sich selbst und ihre Kunden Risiken aus.

„Open-Source-Prozesse helfen dabei, Produkte und Markenimage zu schützen. Fehlt jedoch das Bewusstsein für die Risiken bei der Verwendung von Open Source, werden auch keine Schutzmaßnahmen getroffen“, so Luszcz. „Dies wirkt sich dann auf die gesamte Software Supply Chain aus und gefährdet sowohl Anbieter, deren Produkte Compliance und Sicherheitsrisiken enthalten, als auch ihre Kunden, die meist unwissentlich Open Source und andere Drittanbieter-Software nutzen und von eventuellen Sicherheitslücken nichts ahnen.”

Mehr Informationen:

• Website Flexera
• Report “Open Source Risk – Fact or Fiction?”
• Informationen zu Flexera FlexNetCode Insight