Prominente Angriffsziele, weitreichende Folgen
Bis zu 18.000 Kunden der Firma Solarwinds, darunter auch so bekannte Namen wie Nestlé, Microsoft oder Siemens, waren potenzielle Opfer eines Angriffs, der erst im Dezember 2020 nach über einem Jahr bekannt wurde. Die Angreifer konnten über eingeschleuste Schadsoftware die Netzwerke der Solarwinds-Kunden infiltrieren.
Nachdem seit Januar des Jahres erfolgreiche Angriffe liefen, alarmierte Microsoft Anfang März die Öffentlichkeit durch die Bereitstellung von Patches für seinen Mailserver Exchange. Schätzungen zufolge waren bis zu 250.000 Exchange-Server kompromittiert. Die Angreifer hatten durch eine Kombination von Sicherheitslücken Zugriff auf die komplette Korrespondenz auf den Servern.
Anfang Mai legte die US-Firma Colonial Pipeline ihre Versorgungsleitung still, die im Normalfall 45% des Bedarfs an Treibstoff der Ostküste der USA abdeckt. Ein Erpressungstrojaner hatte die Abrechnungssysteme des Unternehmens lahmgelegt. In der Folge rief die US-Regierung den Notstand aus.
Die Entwicklung bei Sicherheitsvorfällen kennt bislang nur eine Richtung: Immer mehr Betroffene, immer größere Schäden. Die bekannten Ermahnungen – Sicherheitsfragen schon bei der Software-Entwicklung zu berücksichtigen, Standardpasswörter (»solarwinds123«) zu vermeiden, die Systeme auf dem aktuellen Stand zu halten – stoßen zwar nicht mehr auf taube Ohren, aber sie lösen das Problem nicht.
Mehr Sicherheit durch Transparenz?
Dementsprechend weist die Executive Order von Präsident Biden in eine andere Richtung und die zwei Tage später veröffentlichte Antwort der Linux Foundation macht deutlich, wie die Umsetzung aussehen könnte. Die Stellungnahme des Konsortiums mit seinen über 1000 Mitgliedern, zu denen auch Google, Bloomberg oder die Daimler AG gehören, hat Gewicht. Denn die Linux Foundation hat sich zu einem zentralen Hub für Software entwickelt, die neben bekannteren Projekten wie Linux, Kubernetes oder Let's Encrypt an die 500 Projekte im Bereich der freien Software unterstützt.
Die US-Regierung drängt darauf, Abhängigkeiten, die in Software implizit vorhanden sind, offen zu legen: Ziel ist es, eine Deklaration für die Lieferkette von Software einzuführen. Das läuft auf eine Stückliste (bill of materials) hinaus, die Auskunft gibt, welche Komponenten der Software woher stammen. Es gehört zum Alltag in der Software-Entwicklung, auch Quellcode aus Open Source Projekten zu verwenden. Denn der Code konnte vielerorts erprobt werden, und ein öffentlicher Austausch über etwaige Probleme und Lösungen ist ohne weiteres möglich. Aber welche Software welche Komponenten verwendet, wird in der Regel erst sichtbar, wenn ein Problem auftaucht. Hier soll die Stückliste ansetzen.
Die Linux Foundation verweist an dieser Stelle auf das seit zehn Jahren gepflegte Datei-Format »Software Package Data Exchange« (SPDX). Das Format sollte zunächst Unternehmen eine schnelle Prüfung ermöglichen, ob die Lizenzbestimmungen eines Open Source-Projekts mit dem beabsichtigten Einsatz durch das Unternehmen vereinbar sind. Doch darüber hinaus sieht der bei der ISO zur Standardisierung eingereichte Vorschlag für SPDX die Stückliste für Software bereits vor.
Eine gefährliche Kollision von Interessen
Weitere Punkte der Executive Order wie die Sicherung der Integrität von Quellcode oder der Integrität von Daten im Internet gehören im Bereich von Open Source bereits zum Standard. Allerdings werden die verwendeten Techniken derzeit wieder von staatlicher Seite in Frage gestellt. So arbeitet nicht nur die Bundesregierung aktuell an Gesetzen, die dem Staat das Abhören durch Hintertüren in der Verschlüsselung von Verbindungen ermöglichen sollen. Auch der Wunsch Sicherheitslücken offen zu legen, kollidiert mit staatlicher Praxis. Die Suche nach bisher unbekannten Sicherheitslöchern in Software wurde auch in Deutschland vorangetrieben, um den eigenen Nachrichtendiensten einen Vorteil zu verschaffen. Daran ändern anscheinend auch die bekannten Pleiten der NSA nichts, deren Sammlung von Exploits wiederholt auch von gegnerischen Staaten oder Kriminellen ausgespäht wurde.
Es gehört zu den Zielen der amerikanischen Regierung am Ende ein Label zu präsentieren, das Verbrauchern signalisiert, nach welchen Kriterien und in welchem Maß ein Gerät oder eine Software auf Sicherheit geprüft wurde. Bei den sicherheitsgefährdenden Bestrebungen der Staaten könnte das allerdings ein Label mit reichlich Sternchen und Fußnoten werden.