Die US-Regierung sucht Rat bezüglich der Sicherheit von Open-Source-Software

Die Cybersecurity and Infrastructure Security Agency (CISA), das Office of the National Cyber Director (ONCD), die National Science Foundation (NSF), die Defense Advanced Research Projects Agency (DARPA) und das Office of Management and Budget (OMB) sind auf der Suche nach weiteren Erkenntnissen darüber, wie die US-Regierung ihre Bemühungen zur Sicherung von Open-Source-Software priorisieren sollte.

Die Behörden haben gemeinsam eine Anfrage nach Informationen (RFI) veröffentlicht, die bis zum 9^. Oktober beantwortet werden sollte. Die Anfrage ist Teil der laufenden Bemühungen, die Security von Open-Source-Software zu verbessern, die auf die eine oder andere Weise in nahezu jeder Anwendung zu finden ist.

Zumindest theoretisch sollte die US-Regierung den Entwicklern von Open-Source-Software Programmier- und Finanzressourcen zur Verfügung stellen, um Bundesbehörden zu schützen, die – wie jedes andere Unternehmen auch – stark von Open-Source-Software abhängig geworden sind. Das Problem ist, dass es immer ein potenzielles Cybersecurity-Problem geben wird, solange Software von Menschen geschrieben wird. Menschen machen Fehler. Gleichzeitig werden Schwachstellen im Code, die heute noch unbekannt sind, mit Sicherheit morgen entdeckt. Nur wenige Betreuer von Open-Source-Softwareprojekten verfügen über die Ressourcen, um einen Patch zu erstellen, der dann sofort an alle Benutzer der Software weitergegeben werden kann.

Tatsächlich erwägen die Betreuer in vielen Fällen möglicherweise nicht einmal, nachzuweisen, dass dieser Patch eine besonders hohe Priorität hat. Sofern jemand diesen Betreuer nicht für die Arbeit an diesem Projekt bezahlt, ist es oft nur eine Gefälligkeit. Die Betreuer dieser Software haben keine Bundesbehörde oder IT-Organisation nicht darum gebeten, diese Software zu verwenden. Es ist also nicht unbedingt ihre Aufgabe, alles stehen und liegen zu lassen, um einen Patch für eine Zero-Day-Schwachstelle zu erstellen.

Die Organisationen, die von der Nutzung dieser Software profitieren, sollten bereit sein, Ressourcen zur Verfügung zu stellen, um ein solches Problem anzugehen. Diese Ressourcen können entweder von den Organisationen selbst oder von dem Anbieter bereitgestellt werden, der möglicherweise Zugriff auf eine kuratierte Instanz eines Open-Source-Softwarepakets bereitgestellt hat, das sie kommerziell unterstützen.

Das alles bedeutet natürlich nichts, wenn niemand herausfinden kann, wo die anfällige Software ausgeführt wird. Nach der Zero-Day-Schwachstelle Log4j arbeiteten viele Cybersecurity-Teams und Anwendungsentwickler monatelang zusammen und suchten nach Fällen, für die Cyberkriminelle nun Anweisungen zur Ausnutzung hatten

Idealerweise sollte es im Namen der nationalen Sicherheit eine Art SWAT-Team geben, das bei Bedarf die Erstellung eines Patches orchestriert und, was ebenso wichtig ist, das nötige Fachwissen zur Verfügung stellt, um Instanzen von betroffener Software zu entdecken. Die Open Source Security Foundation (OpenSSF) arbeitet daran, solche Funktionen bereitzustellen. Der Aufwand, der im Falle einer weiteren größeren Entdeckung einer Zero-Day-Schwachstelle erforderlich wäre, übersteigt jedoch ihre verfügbaren Ressourcen.

Regierungsbehörden sind nicht für ihre Agilität bekannt. Es könnte also einige Monate dauern, bis aus den eingeholten Empfehlungen ein konkreter Plan wird, aber Cybersecurity-Experten sollten die einmalige Gelegenheit nutzen, sich zu einem Problem zu äußern, das sie am meisten betrifft. Denn ganz gleich, was die Ursache eines Verstoßes ist, die Verantwortung liegt letztlich immer bei dem Cybersecurity-Team, das damit beauftragt ist, das daraus resultierende Cybersecurity-Durcheinander zu beseitigen.