Studie: In Sachen Sicherheit hat Open Source die Nase vorn

Datenschutz und Privatsphäre gehören in hiesigen Unternehmen mittlerweile zu den wichtigsten Themen. Dies könnte auch Open-Source-Lösungen in die Hände spielen. Laut einer Studie des Ponemon-Instituts zum Beispiel sind zwei Drittel der rund 1.400 befragten IT-Entscheider und Sicherheitsexperten davon überzeugt, dass Open Source die Sicherheit von Anwendungen erhöht – und zugleich den Schutz privater Daten verbessert. Ein weiteres Ergebnis der Studie: Die allgemeine Zuverlässigkeit von Software-Anwendungen werde durch die Transparenz des Programmcodes und durch den Support kommerzieller Open-Source-Anbieter erhöht. Das gaben 75 Prozent der Befragten an.

Insgesamt lassen die Ergebnisse der Studie einen grundlegenden Wandel in der Sicht auf Open Source erkennen. So stellen niedrigere Kosten nicht länger das wichtigste Argument dar. Wichtiger sind andere Vorteile, die die IT-Experten Open Source zuschreiben: 60 Prozent der Befragten in den EMEA-Ländern (Europa, Naher Osten, Afrika) gaben beispielsweise an, dass kommerzielle Open-Source-Software ihrer Meinung nach zu höherer Qualität führe. Auch in puncto Stabilität der Geschäftsabläufe äußerten sich 67 Prozent der Befragten positiv. Und für 57 Prozent sind Kontrolle sowie die Möglichkeit, den Code nach den eigenen Anforderungen modifizieren zu können, ein wichtiges Kriterium für Open- Source. Wesentliche Unterschiede zwischen EMEA und den USA hingegen ergab die Studie bei IT-Sicherheits- und Datenschutzfragen: Während Unternehmen in EMEA eher Datenschutz und Privatsphäre in den Mittelpunkt rückten, waren den befragten US-Spezialisten Sicherheitsfragen wichtiger.

Trotz des großen Vertrauens, welches IT-Entscheider Open Source entgegenbringen, läuft die flächendeckende Umstellung auf „offene“ Anwendungen insgesamt nur zögerlich an. In EMEA-Unternehmen basieren durchschnittlich nur 25 Prozent der eingesetzten Business-Anwendungen auf Open Source. Dies könnte sich jedoch in den nächsten zwei Jahren ändern: So gaben beispielsweise 52 Prozent der Studienteilnehmer an, ihre aktuelle, meist proprietäre Kollaborations- und Kommunikations-Software durch Open Source ersetzen zu wollen.

Viele sehen mehr

Sicherheit, Kontrolle, Qualität und Transparenz sind also die wichtigsten Vorteile, die mit Open Source verbunden werden. Worauf stützt sich diese Überzeugung?

• Open Source ist ein riesiges Gemeinschaftsprojekt. Das bedeutet: Unternehmer sind nicht allein auf ihre internen Sicherheitsexperten angewiesen, sondern können sich auf eine permanente Kontrolle und Observierung ihrer Software seitens der Gemeinschaft stützen. Viele Augenpaare sehen bekanntlich mehr. Was der eine nicht sieht, findet der nächste, entziffert ein anderer und so weiter. Auf diese Weise entsteht ein sicheres Produkt. Die ständige Beobachtung und Optimierung der Software gleicht einem Spiel, einem Wettlauf innerhalb der Gemeinschaft: Wer findet den nächsten „wunden“ Punkt im Programmcode? Und wer hat als Erster eine Lösung parat, um die Sicherheitslücke zu schließen? Daraus entsteht eine kontinuierliche Dynamik, mit der Bugs ermittelt und schnell und effizient beseitigt werden. Davon profitiert der gesamte Anwenderkreis. Und sind die jeweils aktuellen Lücken geschlossen, geht das Wettrennen weiter. Hinzu kommt, dass die Entwickler der Open-Source-Communitys für Geschwindigkeit sorgen. Zum Beispiel bei Heartbleed: Während viele Open-Source-Anbieter innerhalb weniger Stunden Abhilfe schafften, benötigten proprietäre Produkthersteller zum Teil Tage dafür.
• Open-Source schafft Transparenz – und Transparenz schafft Vertrauen. Anders als bei kommerzieller, proprietärer Software ist der Programmcode bei Open-Source-Lösungen einsehbar, kontrollierbar – und kann entsprechend der eigenen Unternehmensanforderung modifiziert werden. Zum Beispiel bei Sicherheits-Updates können Anwenderunternehmen bis ins Detail nachvollziehen, wo welche Modifikationen am Code vorgenommen wurden. Dies ist vor allem für die Entwicklungs- und Sicherheitsteams in Unternehmen ein großer Vorteil, denn sie können nachvollziehen, ob ein Update jeweils sauber programmiert ist und ob es den eigenen Entwicklungs- und Security-Richtlinien entspricht.
• Open-Source-Lösungen bieten die Möglichkeit, im Unternehmen bereits bestehende Sicherheitslösungen schnell und einfach zu integrieren. So können beispielsweise eigene Verschlüsselungsprogramme angepasst und direkt eingebunden werden. Auf diese Weise lässt sich Open Source an den individuellen Sicherheitsanforderungen und der bereits bestehenden Infrastruktur eines Unternehmens ausrichten.

Sobald es um die Auswahl von Open-Source-Anwendungen geht, ist es ratsam, auf kommerzielle Anbieter zu setzen, die über ein Security Response Center verfügen. Diese voll auf Sicherheitsfragen konzentrierten Teams folgen in der Regel strengen Datenschutzbestimmungen und übernehmen die Verantwortung für Qualität und Sicherheit des Quellcodes. Kommt es zu einer Sicherheitslücke, sorgen die Experten dieser Teams für eine schnelle Beseitigung. Unternehmen sollten sich auch darüber informieren, wie oft und nach welcher Strategie der Open-Source-Anbieter Korrekturen an den Codes vornimmt und welche der bestehenden Unternehmenssoftware in die Open-Source-Lösung integriert werden kann. Außerdem stellt die Größe der Community ein wichtiges Auswahlkriterium dar. Hier gilt: Je größer sie ist, desto größer fällt auch ihre Schlagkraft in Sachen Sicherheit und Qualität aus.

Sicherheit schlägt Kosten

Fakt ist: Angriffe aus dem Netz haben zuletzt ein kaum überschaubares Ausmaß angenommen. Sicherheitslücken treten immer häufiger und in weit gefährlicherer Form auf – für einige Unternehmen sind diese existenzgefährdend. Diese sich weiter verschärfende Sicherheitslage für Unternehmen werden die Marktanteile von Open Source sicherlich erhöhen. IT-Entscheider haben vor einigen Jahren verstanden, dass sie mit Open Source Kosten sparen. Nun rücken Sicherheits- und Qualitätsvorteile in den Vordergrund. Sie gehören zu den Gründen dafür, dass weltweit bereits viele öffentliche Verwaltungen auf Open Source setzen. Für sie wie auch die Privatwirtschaft gilt: Sie können der Masse und Komplexität heutiger Cyber-Attacken nur dann Herr werden, wenn sie den Angreifern ein entsprechendes Potenzial entgegen setzen können. Selbst Security-Teams in großen Unternehmen stoßen hier mittlerweile an ihre Grenzen. Hier setzt Open Source an: Denn wenn eine Armee von mehreren Zehntausend in einer Community für die Sicherheit kämpft, hat dies eine andere Dimension als wenige Hundert bei einem einzelnen Anbieter.

Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de