Amir Alsbih

ist COO der KeyIdentity, Sicherheitsexperte und lehrte unter anderem digitale Forensik.

Open-Source-Core – Die Antwort auf kryptografische Backdoors?

Wie Unternehmen mit dem Einsatz von Open-Source-Technologien die Datensicherheit optimieren können, erklärt Amir Alsbih in seinem ersten Blog für silicon.de. Alsbih ist CEO der KeyIdentity GmbH.

Unternehmen setzen vermehrt auf die Verschlüsselung ihrer Daten – sei es beim Transfer sensibler Daten oder beim Einsatz von Authentifizierungslösungen – um ihren Kunden mehr Sicherheit zu bieten. Auch in Deutschland gewinnt dieser Punkt stetig an Bedeutung und das BMI strebt an, Kryptographie auszuhölen, beziehungsweise Einheiten aufzubauen, die Kryptografie knacken sollen.

Immer mehr Politiker und Regierungen in den USA und Europa fordern allerdings Hintertüren in den Verschlüsselungsstandards: Verschlüsselung dürfe Strafverfolgern und Fahndern den Zugriff auf die Kommunikation von Verdächtigen nicht verwehren. Tatsächlich gefährden niedrige Verschlüsselungsstandards jedoch die Sicherheit von jedem einzelnen, denn sie machen es auch Hackern einfacher, Zugang zu Daten und Anwendungen zu erhalten.

Amir Alsbih ist seit 2016 CEO von KeyIdentity.
Amir Alsbih ist seit 2016 CEO von KeyIdentity. (Bild: KeyIdentity)

Viele Unternehmen haben Bedenken, dass von ihnen eingekaufte Authentifizierungslösungen kryptografische Backdoors enthalten könnten, durch die Dritte Zugriff erlangen könnten oder die es Dritten erlauben, Kommunikation in Echtzeit oder im Nachgang zu entschlüsseln. So speichert die NSA Beispielsweise eine Menge verschlüsselter Kommunikation auf Vorrat, um diese im Bedarfsfall zu entschlüsseln –oder im Falle von trivalent Lücken in der Lage zu sein rückwirkend Kommunikation auszuwerten. Auch ausländische Geheimdienste, die Wirtschaftsspionage als Ziel haben, profitieren von solchen Praktiken.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Open-Source-basierte Software oder mindestens die Offenlegung der Kryptographie ist für besorgte Unternehmen aus den folgenden Gründen eine ausgezeichnete Alternative:

  • Closed-Source-Systeme haben ein großes Potential, schädliche Elemente zu enthalten. Bei Open-Source-Software besteht das gleiche Risiko, aber dort ist die Wahrscheinlichkeit überaus hoch, dass Risikobereiche von der Community gefunden und behoben werden.
  • Der hohe Aufwand für die Hinterlegung des Quellcodes sowie die Prüfung der Aktualität, die sogenannte “Software-Escrow”, entfällt –und damit auch der bürokratische Verhandlungsmarathon. Insbesondere, bei Software, die in eigenen kritischen Geschäftsprozessen / Anwendungen eingesetzt wird, ist es wichtig, dass ein Unternehmen z.B. bei Insolvenz / Geschäftsaufgabe an den Source-Code kommt, um das eigene Geschäft aufrechtzuerhalten.
  • “Open-Souce-Software verschaffen Hackern Vorteile” – Dieses Vorurteil hält sich weiterhin hartnäckig. Tatsächlich ist es allerdings so, dass Angreifer in der Lage sind, innerhalb weniger Minuten Exploits über das Reverse-Engineering von binären, proprietären Code-Patches zu erstellen – auch, wenn sie den Code nicht kannten. Hacker im Dunkeln zu lassen bzw. auf Security by Obscurity zu vertrauen, war noch niemals die Lösung. Die Sicherheit einer Lösung hängt demnach nicht davon ab, ob diese Open-Source oder Proprietär ist, sondern davon, ob ein sicherer Software-Entwicklungsprozess, mit in der Anwendungssicherheit geschulten Entwicklern und Technologien kombiniert werden, oder ob die Entwicklung ohne struktur, Bedrohungsanalysen und technische Hilfsmitel wie statischer Code Analyse erfolgt.
  • Open-Source-Software ermöglicht es, Sicherheitsteams den Code regelmäßig zu auditieren und eine detallierterte Due-Diligence durchzuführen. Im Falle von proprietärer Software muss auf die Antworten des Herstellers auf Fragebögen sowie Back-Box-Sicherheitstests vertraut werden. Bei Open Source sind eigene Stichproben im Code möglich, sowie durch die Kombination von statischer- sowie dynamischer Code-Analyse sowie einer Datenflussanalyse auch ohne Aufwand wesentlich tiefere Erkenntnisse erziehen.
  • Außerdem bietet Open-Source-Software die Möglichkeit, den Code den Anforderungen des Kunden nach an anzupassen. Kunden können durch Pull-Requests eigene Vorschläge zur Optimierung und Erhöhung der Sicherheit des Codes vorschlagen, welche dann von den Maintainern der Software abgelehnt oder in den Code überführt werden kann.

Gerade in Zeiten von zunehmender Industriespionage stellen potenzielle Hintertüren in proprietärer Software – sei es, ob sie auf Anweisung von Regierungen oder aus anderen Gründen eingebaut wurden – eine ernsthafte Bedrohung für Unternehmen dar. Insbesondere heikel ist das bei Authentifizierungslösungen, denn über ein kryptografische Backdoor ist so potenziell der Zugriff auf alle in einem Unternehmen verwendeten Systeme möglich. Die Nutzung einer Open-Source-basierten Lösung kann sicherlich nicht alle Risiken eliminieren. Allein die regelmäßige Überprüfung des Codes durch die Entwickler-Community minimiert allerdings die Wahrscheinlichkeit von versteckten Hintertüren. Die Vorurteile gegenüber Open Source in Bezug auf Sicherheit sind also zumindest bei Authentifizierungslösungen unbegründet.