MENU
IT-Sicherheit

Die Quellcodedetektive

15. August 2024

Ob im Smartphone, dem Gesundheitswesen, dem Energiesektor oder in anderen Kritischen Infrastrukturen – überall kommt Open-Source-Software zum Einsatz. Die Fachleute von TÜVIT prüfen diese auf Sicherheitslücken und Schwachstellen.

 

Kurz vor Weihnachten 2021 meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) Alarmstufe Rot: In der Open-Source-Anwendung „Log4j“ wurde eine kritische Schwachstelle entdeckt. Sie wird seit Jahren von großen Techkonzernen wie Apple, Amazon, Tesla oder Google, aber auch von vielen deutschen Behörden genutzt. „Alle waren sehr nervös, weil kein Hersteller, kein Krankenhaus und kein Energieversorger wusste, ob in ihren IT-Produkten eine Version mit der Log4j-Schwachstelle steckte“, erklärt Dietmar Rosenthal, Experte für Quellcodeanalyse von TÜVIT. Diese Sorge war nicht unberechtigt: Weltweit fuhren Cyberkriminelle Angriffe und nutzten die Sicherheitslücke aus. Systeme und Server rund um den Globus wurden heruntergefahren, um Sicherheitsupdates zu installieren. Einige digitale Dienste waren aufgrund der Angriffe zeitweise nicht erreichbar.

 

Open Source ist überall

Die Log4j-Krise sorgte für gehörige Wellen in der IT-Branche. Denn Log4j ist beileibe nicht die einzige Open-Source-Software (siehe Kasten), die in Programmen oder Geräten steckt. „Tatsächlich gibt es kein IT-Produkt auf der Welt, das ohne Open-Source-Software-Bestandteile auskommt“, sagt Rosenthal. Die Programme, die unsere Smartphones, Fernseher oder WLAN-Router steuern, bestehen häufig zu 90 Prozent aus solchen Open-Source-Software-Bestandteilen. „Die Hersteller benutzen sie immer da, wo Standardlösungen gesucht werden, die schon viele andere eingesetzt haben“, erklärt der Experte. Das spart Zeit und Personal, sprich: Geld. Denn Open-Source-Software ist nicht herstellergebunden. Man muss sie also nicht kaufen oder Lizenzgebühren für ihre Nutzung zahlen. Coder:innen können sie vielmehr kostenfrei verwenden und vervielfältigen, wenn sie sich an die Nutzungsbedingungen halten. Auch können sie die Software an den eigenen Bedarf anpassen.

Der Quellcode von Open-Source-Software ist öffentlich und so etwas wie der Bauplan in der Software-Entwicklung. Er enthält alle Details und Anweisungen für ein funktionierendes Programm. Bei Open-Source-Software kann jede und jeder den Quellcode überprüfen und verändern. So wird er im besten Fall von einer großen Entwickler-Community kontinuierlich verbessert. Die Schattenseite: Bei der Entwicklung können Schwachstellen entstehen. Und diese können wie im Fall von Log4j von Cyberkriminellen ausgenutzt werden – wenn sie nicht schnell genug gefunden und geschlossen werden. Quellcodeanalyst:innen wie Dietmar Rosenthal und sein Team von TÜVIT kümmern sich darum, solche Schwachstellen aufzuspüren.

 

Maßgeschneiderte Open Source

Die Expert:innen von TÜVIT prüfen hoch spezialisierte Soft- und Hardware-Produkte, bei denen die Open-Source-Komponenten nicht von der Stange, sondern maßgeschneidert sind. „Da ist es oft gar nicht mehr möglich, vom Produkt auf darin eingesetzte Open-Source-Komponenten zu schließen. Deswegen analysieren wir den Quellcode“, beschreibt Rosenthal. Die Kernfrage: Welche Komponenten stecken drin? Werden diese auf eine sichere Art und Weise eingesetzt? „Früher hat man einem Produkt vertraut, weil man dem Hersteller vertraute. Das ist kein gangbarer Weg. Heute guckt man: Wurde denn ein sicheres Produkt entwickelt?“, erklärt Rosenthal. „Security by Design“ nennt sich das Prinzip.

Das hat auch die Politik erkannt und den Begriff in den Cyber Resilience Act (CRA) aufgenommen. Mit dem CRA schafft die Europäische Kommission gesetzliche Cybersicherheitsstandards für vernetzte Geräte und Dienste in Europa. In Deutschland fordert der Gesetzgeber bislang Evaluationen von Betreibern Kritischer Infrastrukturen und von Bereichen mit hohem Datenschutzinteresse, etwa im Gesundheitswesen und dem Energiesektor. Produkte wie die elektronische Gesundheitskarte oder Smart-Meter-Gateways dürfen nur mit Zertifikat eingesetzt werden. Smart-Meter-Gateways schirmen unter anderem das Heimnetzwerk von Stromkund:innen ab. „Hersteller sollten schon bei der Produktentwicklung an die Quellcodesicherheit denken“, sagt Rosenthal.

 

Internationale Prüfkriterien

TÜVIT ist bereits seit 1991 vom BSI als Prüfstelle für Sicherheitsevaluierungen nach dem internationalen Standard der Common Criteria anerkannt. Die Expert:innen prüfen etwa die Soft- und Hardware von Routern in Kliniken. Solche E-Health-Konnektoren verbinden zum Beispiel die elektronische Gesundheitskarte mit der Telematikinfrastruktur, auf der die sensiblen Patientendaten hinterlegt sind. „Diese Router müssen an sich schon so sicher sein, dass bei der Nutzung keine Sicherheitslücken entstehen können“, sagt Rosenthal. Bei der Digitalisierung im Energiebereich ist die Expertise von TÜVIT ebenfalls gefragt, wo Smart-Meter-Gateways die Verbindung zwischen dem Netz der Stromversorger und den Endkund:innen herstellen.

 

Dicker Schwachstellenkatalog

Bei der Quellcodeanalyse gehen die TÜVIT-Prüfer:innen zwei Wege: mit Tool-Einsatz oder in Handarbeit. Es gibt Tools, die den Code automatisiert analysieren. Sie entdecken mögliche Schwachstellen durch den Abgleich mit entsprechenden Datenbanken. Beim zweiten Weg prüfen Evaluator:innen in kleinteiliger Detektivarbeit die Sicherheit des Quellcodes. Ein solcher Evaluationsprozess dauert je nach Komplexität wenige Tage oder bis zu mehrere Monate. Das Ergebnis ist ein Schwachstellenkatalog, der beeindruckend dick werden kann: „In einer Prüfung finden wir zwischen 200 und 1.000 potenzielle Schwachstellen“, erzählt Rosenthal.

Anschließend beginnt ein Pingpongspiel zwischen TÜVIT und dem Hersteller, der erläutern muss, wie er sein Produkt sicherer machen möchte – und es dann auch tun muss. Beim Finale schlüpfen die Sicherheitsfachleute in die Rolle böswilliger Hacker:innen: Bei sogenannten Penetrationstests prüfen sie, ob das System gezielten Angriffen standhält. Erst wenn der Evaluationsprozess abgeschlossen ist, bekommt der Hersteller ein Zertifikat vom BSI. „Die Bewertung durch einen unabhängigen Dritten wie TÜVIT sorgt für mehr Sicherheit und Vertrauen“, sagt Rosenthal. Denn ist das Vertrauen erst einmal erschüttert, ist es sehr schwer wieder aufzubauen.

 

Was ist (alles) Open Source?

Anders als bei kommerziellen Programmen, ist der Quellcode von Open-Source-Software öffentlich. Er kann also von jeder und jedem genutzt, verändert und verbessert werden. Der Vorteil von Open Source für Unternehmen und Nutzende: Die Verwendung ist kostenfrei. Und man profitiert von der Erfahrung und den Kapazitäten einer weltweiten Entwickler-Community. Daher wird der Einsatz von Open-Source-Software unter anderem auch von der EU gefördert.

Open-Source-Software hat dabei unterschiedliche Größenordnungen: Open-Source-Module wie etwa Log4j übernehmen eine spezielle Aufgabe in der gesamten Software, die etwa einen Webserver steuert. Entwickelt wurde Log4j für den Open-Source-Webserver Apache, der auf über der Hälfte aller Server weltweit läuft. Mit OpenOffice oder dem Nachfolger LibreOffice gibt es auch quelloffene Alternativen zu Microsoft Office, mit GIMP eine Open-Source-Variante zu Photoshop & Co. Open Source sind auch der Webbrowser Firefox oder das Betriebssystem Linux, das auf den allermeisten WLAN-Routern, Fernsehern und Infotainmentsystemen im Auto läuft.

Zur Person:

Dietmar Rosenthal ist Experte für Quellcodeanalyse bei TÜVIT. Der Diplom-Mathematiker und Medizintechniker beschäftigt sich also mit der Suche nach Sicherheitslücken und Schwachstellen im Quellcode von Open-Source-Software.

Entdeckt, erklärt, erzählt: Der Podcast von #explore