diff --git a/articles/2025/open-source-im-unternehmen/0-einfuehrung.md b/articles/2025/open-source-im-unternehmen/0-einfuehrung.md index c7749d6..4a31b66 100644 --- a/articles/2025/open-source-im-unternehmen/0-einfuehrung.md +++ b/articles/2025/open-source-im-unternehmen/0-einfuehrung.md @@ -21,10 +21,10 @@ Ein realistischer Blick auf die Gesamtkosten: Lizenzkosten sind nur ein Teil der Wie lässt sich Open-Source-Nutzung im Unternehmen organisieren, ohne rechtliche oder sicherheitstechnische Risiken einzugehen? [Link](/post/strategien-fuer-sicheres-und-regelkonformes-management) ### 4️⃣ Open Source im Cloud-Zeitalter: Kubernetes, Docker und mehr -Wir schauen uns die wichtigsten Open-Source-Technologien an, die moderne Cloud-Architekturen antreiben. +Wir schauen uns die wichtigsten Open-Source-Technologien an, die moderne Cloud-Architekturen antreiben. [Link](/post/open-source-im-cloud-zeitalter-kubernetes-docker-und-mehr) ### 5️⃣ Security by Community? Chancen und Risiken der Open-Source-Sicherheit -Ist Open Source wirklich sicherer, weil mehr Augen auf den Code schauen – oder ist es nur eine Illusion? +Ist Open Source wirklich sicherer, weil mehr Augen auf den Code schauen – oder ist es nur eine Illusion? [Link](/post/security-by-community-chancen-und-risiken-der-open-source-sicherheit) ### 6️⃣ Open Source vs. Proprietär: Ein Vergleich der Lizenzmodelle Wir erklären die gängigsten Open-Source-Lizenzen (GPL, MIT, Apache) und was sie für Unternehmen bedeuten. diff --git a/articles/2025/open-source-im-unternehmen/4-open-source-im-cloud-zeitalter-kubernetes-docker-und-mehr.md b/articles/2025/open-source-im-unternehmen/4-open-source-im-cloud-zeitalter-kubernetes-docker-und-mehr.md index d8b2b8a..341f770 100644 --- a/articles/2025/open-source-im-unternehmen/4-open-source-im-cloud-zeitalter-kubernetes-docker-und-mehr.md +++ b/articles/2025/open-source-im-unternehmen/4-open-source-im-cloud-zeitalter-kubernetes-docker-und-mehr.md @@ -123,4 +123,4 @@ Für den öffentlichen Dienst bedeutet es: 👉 Im nächsten Teil unserer Blogserie beleuchten wir die Sicherheitsaspekte von Open Source: Ist „Security by Community“ wirklich sicherer? -Bleib dran! \ No newline at end of file +Hier gehts weiter: [Security by Community? Chancen und Risiken der Open-Source-Sicherheit](/post/security-by-community-chancen-und-risiken-der-open-source-sicherheit) \ No newline at end of file diff --git a/articles/2025/open-source-im-unternehmen/5-security-by-community-chancen-und-risiken-der-open-source-sicherheit.md b/articles/2025/open-source-im-unternehmen/5-security-by-community-chancen-und-risiken-der-open-source-sicherheit.md new file mode 100644 index 0000000..26f473c --- /dev/null +++ b/articles/2025/open-source-im-unternehmen/5-security-by-community-chancen-und-risiken-der-open-source-sicherheit.md @@ -0,0 +1,131 @@ + +> Kennzeichnung gemäß Artikel 52 Absatz 1 EU AI Act: [💜 Kein Einsatz von KI](/page/ai) + +Open-Source ist in der IT-Welt kaum noch weg zu denken. Die Vielzahl an Projekten, welche zur engagierte Communities forangetrieben werden ist kaum zählbar. +Fakt ist, viele kommerzielle Systeme verwenden, oder setzen sogar vollständig auf Open-Source-Entwicklungen auf. +Das Grundprinzip ist, dass jeder den gesamten Code in Augenschein nehmen kann, diesen nach seinen Belieben verändern, oder auch am Ursprungsprojekt mitarbeiten kann. + +Hierher resultiert der oft vertretene Konsens: Viele Augen sehen mehr, viele Hände erreichen mehr. +In der Welt der IT-Sicherheit ist dies ein oft genanntes Argument für das Vertrauen in die Nutzung von Open-Source Software. +Doch ist das in der Praxis wirklich so einfach? + +Wir möchten in diesem Beitrag einen genauen Blick in diese Richtung werfen. + +## Was bedeutet Security by Community + +Open-Source-Projekte werden von einer aktiven Gemeinschaft von Entwicklern gepflegt. +Daher lasten auf dieser Community viele Herausforderungen: + +* Erstellen und Prüfen der Software-Entwicklung +* Sicherheitslücken müssen schnell gefunden und behoben werden +* Änderungen müssen gut organisiert, bewertet und trotzdem transparent bereitgestellt werden + +Im Bestfall führt dies zu hohem Vertrauen innerhalb und außerhalb des eigenen Projektes, hoher Reaktionsgeschwindigkeit innerhalb des Proketes, sowie eines geteilten Verantwortung und einem hohen Maß an Sicherheit. + +Wie immer ist das der Umstand unter den optimalen Bedingungen. Doch das ist nicht immer der Fall. + +## Warum Open-Source sicher sein kann + +In der Welt der Software-Entwicklung ist nichts wichtiger, als Vertrauen in Stabilität und Sicherheit. +Viele Projekte aus der Open-Source-Welt haben sich einen hervoragenden Ruf erarbeitet. +Aber woran liegt das: + +### Transparenz + +Im Gegensatz zu kommerziell vertriebener Software können Kunden und Organisationen selber prüfen, worauf sie sich einlassen. + +* Welche Sicherheitsmechanismen sind vorhanden +* Gibt es Backdoors oder andere Bibliotheken, welche Abhängigkeiten erzeugen, die begutachtet werden müssen +* In welchem Umfang und welcher Geschwindigkeit werden Bugs oder Schwachstellen behoben + +### Schnelle Reaktionszeiten + +Gerade größere Open-Source-Projekte und deren Gemeinschaft haben oft ein breit aufgestelltes Know-How. +Insbesondere sind diese oft extrem gut vernetzt und erfahren von Sicherheitsproblemen oft als Erste. +In diversen Projekten sind eigene Security-Response-Teams im Einsatz, welche das Produkt und auftretende Sicherheitsprobleme binnen extrem kurzer Zeit bemerken und beheben. + +### Audits und Reviews + +Viele dieser Projekte unterziehen sich freiwillig einer ganzen Reihe von Audits. +Da dies in der Regel eine kostenintensive Maßnahme ist, finanzieren sich insbesondere größere Projekte durch eigene Stiftungen. +Zu vermuten ist, dass sich dies in der Regel bezahlt macht. + +## Wo ist Open-Source verwundbar + +Neben vielen Leuchtturm-Projekten hat auch die Welt der Open-Source ihr Schattenseiten. + +### Verwaiste Projekte + +Nicht alle Open-Source-Projekte halten es lange durch. Einige Projekte werden nach einiger Zeit nicht mehr aktiv gepflegt. +Zudem ist dies nicht immer direkt erkennbar. Dennoch werden diese Projekte regelmäßig in anderen Projekten als Abhängigkeiten weiter mitgeführt. +In manchen Fällen ist auch die mangelhafte Dokumentation ein Problem. +Dies kann ein potentielles Einfallstor für Angreifer sein. + +Ein konkretes Beispiel ist die bekannte Schwachstelle von Log4J / Log4Shell + +### Supply-Chain-Risiken + +Wie zuvor bereits kurz angerissen, stellt auch der Djungel von Abhängikeiten in der Welt von Open-Source-Software ein mögliches Risiko dar. +Nicht immer ist klar, welche Projekte von einem Sicherheitsvorfall eines anderen Projektes unmittelbar betroffen sind. +Oftmals sind ungepatchte Versionen in anderen Projekten noch einige Zeit im Umlauf. + +### Fehlende Zuständigkeiten + +Wenn Open-Source-Projekte nicht gut verwaltet sind, herrscht of der Konsenz: Wenn alle verantwortlich sind, ist niemand verantwortlich. +So können Fragen wie diese oft nicht beantwortet werden: + +* Welche Abhängigkeiten und in welcher Version werden verwendet +* Wer Pflegt diese +* Wer reagiert auf Sicherheitswarnungen + +--- + +## Relevanz für Unternehmen + +Für den Einsatz in Unternehmen, Vereinen und Verbänden bedeutet Open-Source vor Allem: +* Eigenverantwortung für das Sicherheitmanagement +* Etablierten Prozess für die Auswahl, das Monitoring und die Updates von Open-Source-Software +* Fortwährende Risikobewertung und überwachung von Sicherheitsbedrohungen + +### Best-Practices + +* Schulung von Entwicklern und Administratoren im Umgang mit Open-Source-Software +* Etablieren einer Open-Source-Security-Policy + +--- + +## Relevanz für den öffentlichen Sektor + + +### Anforderungen im ÖD + +Für den öffentlichen Dienst gelten oft noch weitere Anforderungen: + +* Strikte Einhaltung von Datenschutz und Konformität zur DSGVO +* Transparenzpflicht gegenüber dem Steuerzahler +* Hohe Verfügbarkeitsanforderungen + +### Benefits für Open-Source-Projekte aus dem ÖD + +Auch Open-Source-Projekte können von der verbreitung im öffentlichen Sektor profitieren: + +* Die Prüfung von Open-Source durch den öffentlichen Dienst kann durch Ausschreibung eine Zertifizierung oder ein Audit erhalten +* Zunehmende Verbreitung durch Bildung von Kompetenzen in IT-Dienstleistern, welche am Projekt mitwirken + +--- + +## Fazit + +Community ist gut, aber kein wirksamer Ersatz für eine gute Strategie. +So funktionieren Open-Source-Projekte im Hinblick auf Sicherheit nur dann, wenn aktiv Verantwortung übernommen wird. +Wer erwartet, das aus einer Masse an Entwicklern automatisch sichere Software entsteht, liegt hier leider falsch. +Oftmals ist es auch eine Frage guter Finanzierung und Unterstützung. +Aber das Protential ist vorhanden. Insbesondere im öffentlichen Sektor steckt viel Potential sich mit Hilfe von Open-Source auch frei von ausländischen Mega-Konzernen zu machen. +Wer in Open-Source investiert, investiert nicht nur in ein Projekt, sondern meist auch in die gesamte Open-Source-Gemeinschaft. + +Unternehmen und Behörden, welche Open-Source als strategischen Baustein verstehen, Anforderungen kommunizieren und sich in der Entwicklung einbringen, werden langfristig hiervon stark profitieren. + +--- + +Im nächsten Beitrag unserer Serie vergleichen wir die verschiedenen Open-Source-Lizenzmodelle - und erklären, was Unternehmen und Verwaltungen bei der Nutzung beachten müssen. + diff --git a/static/img/about-me.webp b/static/img/about-me.webp deleted file mode 100644 index c9a0a90..0000000 Binary files a/static/img/about-me.webp and /dev/null differ diff --git a/static/img/contact-me.webp b/static/img/contact-me.webp deleted file mode 100644 index c71975b..0000000 Binary files a/static/img/contact-me.webp and /dev/null differ diff --git a/static/img/security-by-community-chancen-und-risiken-der-open-source-sicherheit.webp b/static/img/security-by-community-chancen-und-risiken-der-open-source-sicherheit.webp new file mode 100644 index 0000000..bc32ae1 Binary files /dev/null and b/static/img/security-by-community-chancen-und-risiken-der-open-source-sicherheit.webp differ diff --git a/static/img/youtube.webp b/static/img/youtube.webp deleted file mode 100644 index 3347af7..0000000 Binary files a/static/img/youtube.webp and /dev/null differ