Ein neues Whitepaper von Sonatype untersucht Schwachstellen in Software-Lieferketten und gibt Empfehlungen, wie Verantwortliche damit umgehen können. Das Beispiel der Zero-Day-Sicherheitslücke im Java-Logging-Framework Log4j verdeutlicht, wie schnell großer Schaden entstehen kann.
„Software entsteht heute zu großen Teilen aus Komponenten anderer Programme“, schreibt Sonatype in der Einleitung des Whitepapers. Dabei kann sich jedoch Code mit verborgener Malware einschleichen – und genau davor soll das zehnseitige, kostenlos erhältliche Whitepaper mit wertvollen Tipps schützen. Entwickler suchen stets nach Wegen, ihre Arbeit zu erleichtern, aber das kann auch gefährlich sein. „Eine Möglichkeit besteht darin, auf bereits vorhandenen Code aus anderen Projekten zuzugreifen“, schreibt Sonatype. „Software muss nicht jedes Mal von Grund auf neu geschrieben werden.“ Open-Source-Software oder Programmteile daraus unterliegen nicht dem Urheberrecht und können oft kostenlos zum Einsatz kommen – ein Riesenvorteil, der immer häufiger genutzt wird.
Kriminelle Aktivitäten
Doch das hat auch Schattenseiten. Zwar ist der Quellcode von Open-Source-Software voll einsehbar, doch angesichts der immensen Größe vieler Projekte macht sich niemand mehr die Arbeit, Millionen Codezeilen, die einer permanenten Weiterentwicklung unterliegen, zu analysieren. „Entwickler verwenden deshalb in der Regel Open-Source-Code, ohne ihn zuvor eingehend zu prüfen – sie vertrauen auf die Communitys der Open-Source-Entwickler“, so Sonatype. „Aus Zeitgründen bauen sie den fremden Code teilweise ohne ausreichende Dokumentation in ihre Projekte ein. Folglich wissen Unternehmen häufig nicht, an welchen Stellen welcher Teil von welcher Open-Source-Software eingefügt wurde.“ Das Problem an der Sache: Auch kriminelle Malware-Hersteller wissen das. Einigen gelang es bereits, Open-Source-Software so zu manipulieren, „dass er bei der Ausführung automatisch die Rechner der Entwickler infizierte“, schreibt Sonatype. „Von dort aus drangen sie dann in weitere Systeme des Unternehmens ein, klauten Daten oder starteten Ransomware-Angriffe.“
Ein abschreckendes Beispiel
Im nächsten Abschnitt beleuchten die Autoren den Fall der vielfach verwendeten Open-Source-Anwendung Log4j, der seit Ende 2021 für Aufregung sorgt. „Damals wurde bekannt, dass das Java-Logging-Framework Log4j eine Zero-Day-Sicherheitslücke enthält“, schreiben sie. „Eine Injektionsschwachstelle erlaubte es Angreifern, nahezu beliebigen Code auf den betroffenen Systemen auszuführen.“ Der Hersteller, die Apache Software Foundation, reichte schnell einen Patch nach, um die Sicherheitslücke zu schließen. „Doch wie immer dauerte es, bis die Anwender den Patch eingespielt hatten – in vielen Fällen geschah das bis heute nicht“, so Sonatype. Sprich: Noch immer sind viele gefährdete Versionen im Umlauf. Das Beispiel demonstriert eindrucksvoll, wie gefährlich Open-Source-Software sein kann – für Unternehmen, Behörden wie Privatleute gleichermaßen.
Im weiteren Verlauf des Whitepapers beschäftigt sich der Text mit dem EU Cyber Resilience Act und was dieser bewirken soll. Auch die die NIS-2-Richtlinie beleuchten die Autoren genauer und erklären darüber hinaus, warum Firmen ein Inhaltsverzeichnis für Software-Komponenten führen sollten.