SAP hat einen riesigen Open Source Security-Mechanismus

Das Thema Blockchain ist mittlerweile omnipräsent und regelrecht ein Hype. Der SAP Chief Security Officer (CSO) Justin Somaini prognostiziert, dass die Technologie ein echtes Potenzial für die Verbesserung der Unternehmenssicherheit hat. Die Blockchain als bloßen Hype einzustufen, ist nach Ansicht von Somaini nicht gerechtfertigt.

In diesem Interview spricht Somaini über die Anwendung von Blockchain für Sicherheitszwecke. Er geht davon aus, dass Blockchain spezifische Probleme mit Open-Source-Software lösen kann. Wie viele andere Unternehmen setzt auch SAP einen erheblichen Anteil an Open-Source-Code ein, der stark fragmentiert und dezentralisiert ist. Ein verteilter Ledger-Ansatz, so argumentiert Somaini, kann Unternehmen helfen, die Änderungen und Aktualisierungen in den verschiedenen Open-Source-Projekten zu überwachen und zu authentifizieren.

Somaini, der 2016 zum ersten CSO von SAP ernannt wurde und in ähnlichen Funktionen bei Box, Yahoo und Symantec tätig war, spricht in diesem Interview auch über die einzigartigen Herausforderungen, die Open-Source-Software für Unternehmen darstellt, und wie SAP diese Herausforderungen intern angeht.

Im zweiten Teil dieses Interviews spricht Somaini darüber, wie sich Anomalien mit Machine-Learning-Lösungen erkennen lassen und für welche Einsatzzwecke dies geeignet ist.

Blockchain hat sich in letzter Zeit zu einem echten Hype entwickelt. Einige Profis im Bereich Informationssicherheit haben es kritisiert und sogar lächerlich gemacht. Wie sehen Sie das Potential der Blockchain bei Sicherheitsfragen?

Justin Somaini: Ich habe viel darüber nachgedacht. Ich glaube, die meisten von uns in der Branche sehen das Potenzial der Blockchain auf der Business-Seite. Die Frage ist allerdings, kann es auf Sicherheitsprobleme angewendet werden?

Eines der Probleme, das für uns in der IT-Branche schon lange wichtig ist, ist Open-Source-Software. Open Source ist für viele Unternehmen eine große Herausforderung. Wir bei SAP sehen, wie viele andere, eine Aufgabe darin, Schwachstellen in Open-Source-Software zu identifizieren und zu beheben. Ich denke aber, das ist für Unternehmen eine Selbstverständlichkeit. Viel wichtiger für uns ist es, den Stammbaum der verschachtelten Module innerhalb eines allgemeinen Apache-Programms oder anderer Werkzeuge, die in SAP verwendet werden, zu untersuchen. Das tun wir, um in erster Linie die Stückliste und alle Komponenten dieses Softwarepakets, das wir erhalten, zu verstehen.

Wir sprechen dabei über die Softwarelieferkette in einer Open-Source-Welt. Ich glaube, dass es eine Möglichkeit gibt, die offene Registry anzuwenden, um die Identifizierung und Überprüfung der Module in Ihrer Stückliste wirklich zu ermöglichen. Damit würde man nicht nur Transparenz schaffen, sondern, was noch wichtiger ist, die Identifizierung von bösartigen Modulen ermöglichen, die nicht in dieser gültigen Stückliste enthalten sein sollen.

Deshalb sehen wir die Blockchain als relevant für physische Lieferketten, sei es in der Fertigung oder in der Automobilindustrie. Diese Branchen haben verteilte Zulieferer, und diese Zulieferer haben wiederum ihre eigenen verteilten Zulieferer. Die Verfolgung aller Komponenten, die in ein Auto eingebaut werden, kann aufgrund dieser Verteilung sehr schwierig sein. Einige dieser Unternehmen möchten daher Blockchain einsetzen, um es zu erleichtern.

Ein ähnliches Problem ist für uns Open-Source-Software. Die Blockchain ist für uns deshalb interessant, weil wir der Meinung sind, dass Open Source eine der größten Herausforderungen darstellt, mit denen die Branche konfrontiert ist. Schließlich baut der Großteil des heute erstellten Codes auf Open Source auf. Wenn man sich Cloud-Umgebungen ansieht, sind 50 bis 90 Prozent Open Source.

Bedeutet die Verwendung von Open-Source-Software, dass Unternehmen bei der Codeanalyse und dem Patchen strenger sein müssen? Und wie kann die Blockchain dabei helfen?

Somaini: Die Codeanalyse selbst ändert sich nicht unbedingt. Die Werkzeuge, Mittel und Methoden sind bei Open Source nicht anders als bei proprietärer Software. Geändert wird die Art und Weise, wie wir die etwas verfahrene Situation in Ordnung bringen.

Zum Beispiel haben wir bei SAP-Produkten einen strengen Testprozess, aber wir haben auch ein PSRT, also ein Product Security Response Team. Wenn ein Softwareexperte eine Schwachstelle in unserem Produkt entdeckt, können wir dieses zurücknehmen. Wir können dann in kurzer Zeit das Problem identifizieren und einen Patch bereitstellen. Befindet sich das Produkt in unserem Cloud-Bereich, aktualisieren wir es sofort. Das ist in diesem Modell ziemlich einfach. Bei Open Source ist es allerdings ein wenig anspruchsvoller.

Wenn bei Open Source eine Schwachstelle erkannt wird, stellt sich die Frage: Reparieren Sie den Code und geben diesen Code intern weiter? In diesem Fall ist der Code nicht mehr das, was in der Open-Source-Gemeinschaft vorhanden ist. Oder Sie geben den Code für dieses Open-Source-Projekt zurück in die Entwicklergemeinde. Dann müssen Sie darauf warten, dass die Community einen Patch herausgibt.

Letzteres ist sicher das, was die meisten Leute machen. Aber es ist problematisch. Wenn es diese Sicherheitslücke gibt, musst du dich leider sofort gegen mögliche Angriffe wappnen und Maßnahmen treffen, während du auf diesen Patch wartest. Diese Sicherheit für Open Source ist unglaublich wichtig und auch unglaublich herausfordernd. Wir denken, dass die Blockchain dabei helfen kann.

Das Problem ist nur: Die meisten Open-Source-Projekte leiden immer noch unter einem Mangel an Entwicklern, die diese Projekte aktiv managen. Viele Leute konsumieren Open Source, aber nicht viele Leute nehmen daran teil. Der Rückstand beim Patchen ist also für viele Open-Source-Projekte ziemlich groß.

Und das ist die größte Herausforderung von allen: Dass Probleme nicht gelöst werden, weil es nicht genug Leute in diesen Projekten gibt. Wir haben innerhalb von SAP einen riesigen Open Source Security-Mechanismus, und wir haben beschlossen, einige spezielle Open-Source-Softwarepakete, wie zum Beispiel SSL-Sockets, nicht zu verwenden, da dies für unsere Sicherheitslage entscheidend ist.

Wie stellen Sie fest, welche Open-Source-Projekte genügend Leute und Unterstützung haben? Und wie stellen Sie sicher, dass diese immer auf dem Laufenden sind, um Schwachstellen zu beheben?

Somaini: Wenn wir über Sicherheit sprechen, muss sich natürlich das Sicherheitsteam damit beschäftigen. Bei solchen Themen ist die erste Verteidigungslinie die Entwicklungsgruppe selbst. Unsere Philosophie ist: Egal, ob wir die Software selbst entwickeln oder ob wir die Software wie bei einem Open-Source-Projekt von jemand anderem nehmen: Wir müssen den Code kennen. Und wir müssen wissen, was er macht.

„Wir haben beschlossen, einige spezielle Open-Source-Softwarepakete, wie zum Beispiel SSL-Sockets, nicht zu verwenden, da dies für unsere Sicherheitslage entscheidend ist.“

Justin Somaini, SAP

Unsere Entwicklungsteams führen die First-Layer-Überprüfung selbst durch. Wie sieht der Code aus? Ist er gut geschrieben? Gibt es eine unterstützende Community? Wenn wir offenen Quellcode verwenden möchten, fragen wir uns auch, wie lang die Lebensdauer dieses Projekts ist. Kein Entwickler will etwas entwickeln, das er jedes Jahr verschieben muss, weil ein neues Projekt herauskommt. Es muss Stabilität geben. Das schränkt die Zahl der Open-Source-Projekte, die wir im Unternehmen einsetzen, drastisch ein.

Anstatt den Code aus dem Internet zu holen, haben wir ein internes Repository für jedes Open-Source-Projekt, das wir in Eigenregie verwalten. Dies gibt uns die Möglichkeit, unsere eigenen Werkzeuge und Fähigkeiten einzusetzen, um den Code zu analysieren und Probleme zu identifizieren. Wenn wir ein Problem in der Software feststellen, dann sind wir in der angenehmen Situation, Schwachstellen direkt in unserem Repository beheben zu können. Auch wenn es nur ein Notbehelf ist, weil sich natürlich die Branche als Ganzes darum kümmern sollte.

Deshalb haben wir interne Open Source Repositories, mit denen wir den Stammbaum von Code und Open-Source-Bibliotheken verwalten können. Und wir haben zusätzlich in starke Partnerschaften mit Sicherheitsanbietern investiert. Wir wollen ihnen helfen, Technologien in der Codeanalyse zu entwickeln, um Probleme und Schwachstellen besser als die meisten Sicherheitsexperten auf dem Markt zu identifizieren. Wir investieren viel Zeit und Geld in das Open-Source-Sicherheitsproblem. Aber dies ist eigentlich ein Thema und eine Herausforderung für die gesamte Branche.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+, Xing und Facebook!