Mit <kes>+ lesen

Brückenbauer statt Vormund : Die Rolle des Staates bei Open-Source-Software-Sicherheit

„Freiheit“ und Selbstorganisation sind wesentliche Aspekte von Open-Source-Software (OSS). Das OSS-Ökosystem besteht aus einer Vielzahl von Akteuren, von Individuen und Communities über Stiftungen bis zu Firmen. Kann und sollte auch der Staat – mit Fingerspitzengefühl und Respekt – an dieser Stelle Aufgaben übernehmen, um OSS und deren Sicherheit voranzubringen?

Lesezeit 9 Min.

Open-Source-Software (OSS) ist eines der wichtigsten Elemente digitaler Infrastrukturen weltweit. Studien unter anderem von Sonatype [1] und Synopsys [2] zeigen, dass zwischen 78 % und 96 % jedes Software-Stacks OSS enthalten. Darüber hinaus hängt eine große Anzahl der Codebasen kritischer Infrastrukturen von OSS ab. OSS wird heutzutage von jedem benutzt, und zwar überall – so fasste es die Autorin Chinmayi Sharma in einer weiteren Studie treffend zusammen [3].

Diese Abhängigkeit ganzer Volkswirtschaften und Gesellschaften von OSS bedeutet aber auch, dass ihre IT-Sicherheit von entscheidender Bedeutung für den Staat und die nationale Sicherheit ist. Welche Konsequenzen Schwachstellen in OSS haben können, haben zuletzt die unter Ausnutzung von Log4Shell entstandenen IT-Sicherheitsvorfälle verdeutlicht. Wenn OSS überall zu finden ist und Schwachstellen darin massive Auswirkungen auf Wirtschaft und Gesellschaft haben können, welche Rolle sollte dann der Staat mit Blick auf ihre IT-Sicherheit ausfüllen?

Vielen Expert:inn:en zufolge sollte der Staat eine tragende Rolle bei der Verbesserung der IT-Sicherheit im OSS-Ökosystem spielen – jedoch scheint es bisher nicht so, als ob Regierungen ihre genaue Rolle definiert und mit entsprechenden politischen Maßnahmen verknüpft hätten. Das liegt mitunter auch daran, dass die Interaktion mit dem komplexen Ökosystem aus kommerziellen Unternehmen, Projekt-Communities, Freiwilligen und Stiftungen keine leichte Aufgabe für staatliche Stellen ist. Deutlich wurde dies jüngst, als mehrere Praktiker:innen und Wissenschaftler:innen den Entwurf des EU Cyber-Resilience-Acts (CRA) kritisierten. Sie bemängelten, dass gerade Projekt-Communities und Freiwillige mit rechtlichen Auflagen überfordert würden, obwohl dies nicht zu mehr nachhaltiger Produktsicherheit führe.

Staatliche Rolle(n) bei OSS

Für staatliche Stellen gibt es im OSS-Ökosystem unterschiedliche Rollen, in denen sie die IT-Sicherheit zu fördern vermögen: Sie können intern koordinieren, Vorbild sein, das Ökosystem unterstützen und/oder regulieren. Bei jeder dieser Rollen ist es wichtig, einen zielgruppengerechten Ansatz zu wählen. Ein solcher Ansatz kann auf Leitlinien wie Respekt, Zusammenarbeit, Kooperation und Aufrichtigkeit basieren. Vor allem sollte klar sein, dass eine gute, belastbare Arbeitsbeziehung zwischen staatlichen Stellen und anderen Akteuren im OSS-Ökosystem keine Einbahnstraße sein darf.

Nun ist es natürlich so, dass Regierungen zwar eine gewisse „Beinfreiheit“ haben, um effektiv mit Interessensvertretern im Ökosystem zu interagieren und ihnen gegebenenfalls auch entgegenzukommen – an vielen Stellen sind sie jedoch an (gesetzliche) Vorgaben gebunden, können ihre Verhaltens- und Vorgehensweise also nicht ohne Weiteres ändern. Um hier keine falschen Erwartungen zu wecken oder Ärger hervorzurufen, sollten sie klar und deutlich kommunizieren, wo dies der Fall ist – und Spielräume und Kompromissmöglichkeiten dort ausschöpfen, wo es sie gibt. Alle Seiten müssen sich in einem Prozess engagieren, der von gegenseitigem Respekt geprägt ist.

Der Staat als Koordinator

Wenn Regierungen beschließen, eine aktivere Rolle bei der Förderung der OSS-Sicherheit zu übernehmen, könnte die Überprüfung ihrer eigenen Strukturen ein guter Ausgangspunkt sein. Es ist entscheidend, dass jeder Teil der Regierung versteht, wer als Koordinator und Ansprechpartner für die OSS-Sicherheit fungiert. Hierbei handelt es sich nicht notwendigerweise um eine Person, sondern idealerweise um eine Organisationseinheit in einer Behörde. Auf diese Weise wissen alle anderen Stellen, an wen sie sich in Bezug auf OSS-Sicherheitsfragen wenden können.

Regierungen sollten auch eine Bestandsaufnahme der verwendeten OSS und etwaiger laufender OSS-Sicherheitsinitiativen in verschiedenen Behörden auf Bundes- und Landesebene durchführen. Zu wissen, welche OSS-Artefakte von staatlichen Stellen verwendet werden, ist eine wesentliche Voraussetzung für die Priorisierung staatlicher Aktivitäten zur Verbesserung der OSS-Sicherheit.

Die staatliche Stelle, die für die OSS-Koordination zuständig ist, muss keineswegs alles selbst erledigen; vielmehr sollte sie als eine Art Informationsdrehkreuz fungieren. So sollte eine OSS-Koordinationsstelle über bestehende (vertrauenswürdige) Beziehungen zwischen Staat und OSS-Communities im Bilde sein, (extern entwickelte) Tools zur Verbesserung der OSS-Sicherheit, Bildungsmaterialien und OSS-spezifische IT-Sicherheitsrichtlinien bereitstellen und proaktiv kommunizieren.

Der Staat als Vorbild

Um die OSS-Sicherheit nachhaltig zu fördern, sollten staatliche Stellen die Community-Standards, Richtlinien und bewährten Verfahren befolgen, die im Ökosystem existieren, wo immer das möglich und zumutbar ist. Ein Vorbild für andere Akteure zu sein, die das OSS-Ökosystem stärken wollen, bedeutet unter anderem, transparent mit den eigenen Anstrengungen für OSS-Sicherheit umzugehen, die Verwendung sicherer OSS in allen staatlichen Digitalisierungsmaßnahmen zu unterstützen und zur Verbesserung der OSS-Sicherheit beizutragen, indem man Schwachstellen und andere sicherheitsrelevante Informationen mit OSS-Projekten teilt.

Ein Vorbild zu sein bedeutet ebenfalls, ein verantwortungsbewusster OSS-Nutzer zu sein. Konkret heißt das zum Beispiel, OSS-Projektentwickler:innen zu kontaktieren, wenn eine Schwachstelle entdeckt oder ein Patch für den eigenen Gebrauch entwickelt wird.

Zusätzlich müssen Regierungen erkennen, dass das OSS-Ökosystem von Natur aus international ist. Die Maintainer, Contributors und andere Akteure in der OSS-Lieferkette von Softwareprojekten kommen aus verschiedenen Ländern. Darüber hinaus können Akteure unter Pseudonymen agieren, ohne dass ihre echte Identität der Community oder den Nutzer:inne:n ihrer OSS-Projekte bekannt ist. Obwohl dieser Aspekt für weitere sicherheitsbezogene Interventionen berücksichtigt werden muss, sollte dies nicht zwangsläufig zum Ausschluss von Vergabeverfahren und anderen Prozessen führen. Vielmehr sollte es bedeuten, dass Regierungen über das entsprechende Fachwissen und/oder über vertrauenswürdige Dritte mit diesem Fachwissen verfügen, sodass sie die Sicherheit von OSS bewerten können.

Der Staat als Unterstützer

Als interner Koordinator und als Vorbild ist die Rolle der Regierung vorrangig auf interne Belange ausgerichtet. In seiner Rolle als Unterstützer hingegen sollte der Staat bewusst und aktiv Ressourcen einsetzen, um die Sicherheit im OSS-Ökosystem für alle Beteiligten zu erhöhen.

Als Unterstützer müssen Regierungen sich am Kapazitätsaufbau beteiligen, an OSS-Projekten mitarbeiten und Mittel bereitstellen. Es gibt eine Vielzahl von Initiativen und Projekten, bei denen sich staatliche Stellen finanziell oder anderweitig engagieren können, um die Sicherheit des OSS-Ökosystems zu verbessern. Beispiele für konkrete Aktivitäten sind die Überführung von Software in Memory-safe-Programmiersprachen, Sicherheitsaudits, Schwachstellenkoordination, Hilfe bei der Dokumentation, Prämienprogramme für Patches und Fonds für die Vorfallsbearbeitung.

Zusätzlich können Regierungen Sicherheitsressourcen wie Leitlinien oder Tools zur Verfügung stellen und unter bestimmten Umständen sichere, abgespaltene Weiterentwicklungen (Forks) veranlassen oder verwaiste Pakete übernehmen und weiterpflegen – zum Beispiel bei aufgegebenen OSS-Projekten, die in kritischer Infrastruktur oder Behörden zum Einsatz kommen. Darüber hinaus können staatliche Stellen Entwicklungsressourcen einsetzen, indem sie etwa Beiträge zu Open-Source-Bibliotheken von Dritten beisteuern oder Open-Source-Code veröffentlichen.

Der Staat als Regulierer

Das OSS-Ökosystem ist komplex. Es ist deshalb eine anspruchsvolle Aufgabe, dieses Ökosystem gut zu regulieren – ohne also Innovationen zu behindern oder die Sicherheitslage zu verschlechtern. Das bedeutet nicht, dass der Staat gar nicht regulierend tätig werden sollte. Regulierung kann jedoch nur dann positive Auswirkungen haben, wenn staatliche Stellen ihr Verständnis des OSS-Ökosystems durch Dialog und Zusammenarbeit verbessern und wenn sie nuanciert und inklusiv vorgehen.

In seiner Rolle als Regulierer sollte der Staat vornehmlich Barrieren für OSS-Communities beseitigen. Das bedeutet zum Beispiel, die Rechtsunsicherheit für IT-Sicherheitsforscher:innen zu verringern oder jene Hürden abzubauen, die OSS-Projekte so schwer kompatibel mit dem öffentlichen Beschaffungswesen machen. Anforderungen in öffentlichen Ausschreibungen wie teure Zertifizierungen oder Gewährung exklusiver Nutzungsrechte an der Software – die standardmäßig mit den meisten OSS-Lizenzen unvereinbar sind – entmutigen oder schließen Bewerbungen von OSS-Projekten von vornherein aus.

Die Änderung dieser Bedingungen und damit die Möglichkeit für OSS-Communities, einfacher an öffentlichen Beschaffungsprozessen teilzunehmen, wird sicherlich das OSS-Ökosystem stärken und insgesamt zu mehr Wettbewerb und besseren Auswahlmöglichkeiten für staatliche Stellen führen. Wenn OSS-Projekte leichter an öffentlichen Beschaffungen teilnehmen können, wird dies auch zu mehr Mitteln für das OSS-Ökosystem und zur breiteren Verwendung von OSS führen.

Staatliche IT-Sicherheit-Open-Source-Programmbüros

Der erste Schritt zur Vereinfachung und Koordinierung politischer Maßnahmen der Regierung im Bereich von OSS kann die Einrichtung eines Open-Source-Programmbüros (Open Source Program Office, OSPO) sein. OSPOs dienen in der Industrie und in anderen Sektoren als Kompetenzzentrum für Open-Source-Aktivitäten und beraten in Rechtsfragen. In Deutschland wird diese Rolle vermutlich das Zentrum Digitale Souveränität (ZenDiS) einnehmen – unterstützt wird es hierbei durch die Aktivitäten des Sovereign Tech Funds (STF).

Betrachtet man jedoch die Herausforderungen, vor denen das OSS-Ökosystem beim Thema IT-Sicherheit steht, wird deutlich, dass weitaus mehr staatliche Ressourcen notwendig sind. Es sollte daher in Betracht gezogen werden, ein staatliches OSPO mit spezifischem Fokus auf die Förderung von OSS-Sicherheit zu gründen. Auch hierzu muss keine neue staatliche Stelle geschaffen werden: Ein entsprechendes OSPO könnte als Organisationseinheit im Bundesamt für Sicherheit in der Informationstechnik (BSI) angesiedelt werden. Dort befinden sich deutschlandweit die vermutlich meisten bereits existierenden Anknüpfungspunkte zur IT-Sicherheit von OSS.

Die Beziehung zwischen diesem OSPO und anderen staatlichen OSPOs wäre ähnlich der Beziehung zwischen Chief-Information- (CIO) oder Chief-Technology-Officers (CTO) und Chief-Information-Security-Officer (CISO): CIO und CTO konzentrieren sich auf die Verwaltung der Informationstechnik und der entsprechenden Ressourcen, während der CISO gewährleistet, dass die Digitalisierung so sicher wie möglich stattfindet. In dieser Konstellation sollte der CISO idealerweise so unabhängig wie möglich vom CIO/CTO sein, während er auf das gemeinsame Ziel einer effektiven und sicheren digitalen Infrastruktur hinarbeitet.

Das auf OSS-Sicherheit spezialisierte OSPO würde andere staatliche Stellen dabei unterstützen, die oben genannten Rollen einzunehmen. Es würde notwendige Ressourcen mobilisieren, sie in Abstimmung mit den OSS-Communities in Projekte und Initiativen investieren und politische Maßnahmen ergreifen, welche die Sicherheit des OSS-Ökosystems verbessern. Weitere Informationen über den Aufbau und die Funktion einer solchen Organisation finden sich in der im Mai 2023 erschienenen Policy-Studie „Fostering Open Source Software Security Blueprint for a Government Cybersecurity Open Source Program Office“ der Stiftung Neue Verantwortung [5].

Fazit

Regierungsbehörden und andere für die nationale Sicherheit wichtige Institutionen, beispielsweise kritische Infrastrukturen, sind stark auf OSS-Code angewiesen. Dieser macht einen großen Teil des Software-Stacks aus, der in ihren IT-Systemen läuft. Je anfälliger der OSS-Code ist, desto wahrscheinlicher ist es, dass diese Organisationen gestört, ausspioniert und sabotiert werden.

Es liegt daher im staatlichen Eigeninteresse, Ressourcen strategisch zu investieren und politische Maßnahmen zu ergreifen, um die OSS-Sicherheit kurz- und langfristig zu verbessern. Dabei ist es entscheidend, dass Regierungen ihre Rolle im OSS-Ökosystem bestimmen. Das betrifft auch die Kultur der Zusammenarbeit: Fragen von Vertrauen und das Finden einer gemeinsamen Sprache mit den unterschiedlichen Akteuren des OSS-Ökosystems sind dabei mindestens genauso wichtig wie rechtliche und finanzielle Aspekte. Das erfordert von staatlicher Seite Fingerspitzengefühl und Ernsthaftigkeit.

Es wäre daher wichtig, dass der Staat einen Brückenbauer ernennt (z. B. ein OSPO mit Fokus auf ITSicherheit), der Regierungsressourcen und -werkzeuge in Koordination und Zusammenarbeit mit anderen Akteuren im OSS-Ökosystem zur Förderung der OSS-Sicherheit einsetzt. Für den Staat würde dies wiederum eine bessere IT-Sicherheit seiner Behörden, kritischen Infrastrukturen, Wirtschaft und Gesellschaft – und damit einen wichtigen Beitrag zur nationalen Sicherheit bedeuten.

Dr. Sven Herpig ist Leiter für Cybersicherheitspolitik und Resilienz bei der Stiftung Neue Verantwortung (SNV).

 Literatur

 [1] Sonatype, 2020 State of the Software Supply Chain, August 2020, www.sonatype.com/2020ssc (Registrierung erforderlich) – siehe auch www.sonatype.com/stateof-the-software-supply-chain/open-source-supply-anddemand

[2] Synopsys, 2023 Open Source Security And Risk Analysis Report, www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html (Registrierung erforderlich)

[3] Chinmayi Sharma, Tragedy of the Digital Commons, August 2022, in: North Carolina Law Review Vol. 101 Nr. 4, Mai 2023, https://scholarship.law.unc.edu/nclr/vol101/iss4/6 [4] Aeva Black, Gil Yehuda, Open Source Security Policy Conundrum, Blogpost, Januar 2023, https://aeva.online/blog/2023-oss-security-conundrum/

[5] Dr. Sven Herpig, Fostering Open Source Software Security – Blueprint for a Government Cybersecurity Open Source Program Office, Mai 2023, www.stiftung-nv.de/sites/default/files/snv_fostering_open_source_software_security.pdf

Diesen Beitrag teilen: