alphaspirit - Fotolia

Open-Source-Web-Anwendungen: Sicherheitslücken finden

Unternehmen sollten Open-Source-Web-Anwendungen in Sachen Sicherheit wie traditionelle Programme behandeln.

Noch vor nicht allzu langer Zeit kamen Open-Source-Web-Lösungen nur in Randbereichen der Unternehmens-IT zum Einsatz. Inzwischen findet sich kaum ein Bereich, in dem nicht solche Lösungen anzutreffen sind.

Das gilt für Netzwerkinfrastrukturlösungen über Storage-Systeme bis hin zu Business-Anwendungen in der Cloud. Man kann heutzutage davon ausgehen, dass in der ein oder anderen Ausprägung in vielen Unternehmensbereichen Open-Source-Web-Applikationen im Einsatz sind.

Angesichts der zunehmenden Verbreitung solcher Anwendungen verwundert es ein wenig, das dem Thema Sicherheit diesbezüglich nicht mehr Aufmerksamkeit geschenkt wird. Nun gibt es gerade zum Thema Open-Source-Anwendungen feststehende Meinungen: Open Source bedeutet ja, dass der Quellcode transparent und einsehbar ist. Also werden mit Sicherheit genügend Experten diesen Quellcode auf Schwachstellen untersucht haben. Doch die Erfahrung lehrt: Nur, weil sich jeder darum kümmern könnte, bedeutet dies noch nicht, dass sich auch jemand darum gekümmert hat.

Schwachstellen in Open-Source-Web-Applikationen

In Sachen Risiko-Management ist es keine wirklich gute Idee, sich einfach darauf zu verlassen, dass sich schon jemand um die Sicherheitslücken kümmern wird. Das Thema SSL-Implementierung ist ein sehr gutes Beispiel dafür, dass man sich intensiv mit der Sicherheit solcher Applikationen auseinandersetzen sollte. Eine aktuelle Studie des Sicherheitsanbieters Netsparker hat Open-Source-Web-Anwendungen untersucht, die in vielen Unternehmen im produktiven Einsatz sind. Seit 2011 hat der Anbieter 396 Open-Source-Applikationen auf Schwachstellen gescannt und dabei 269 Schwachstellen entdeckt. In Zahlen traten dabei unter anderem folgende Probleme zutage: Cross-Site-Scripting (180), SQL-Injektion (55) und Remote File Inclusion/Einschleusen von Programmcode (16).

Man kann solchen Untersuchen von Sicherheitsanbietern natürlich immer kritisch gegenüberstehen. Die Erfahrung hat gezeigt, dass die entsprechenden Schwachstellen doch häufig in Open-Source-Web-Anwendungen anzutreffen sind. Und wenn es um den Einsatz solcher Applikationen geht, dann betrifft das Thema Sicherheit meist mehr als die reine Anwendung an sich. Im Vergleich zu ganz traditionellen Business-Programmen kommen natürlich noch beispielsweise mögliche Schwachstellen im Browser oder auch mangelnde Passwortrichtlinien hinzu. Open-Source-Web-Anwendungen müssen da wie jeder andere Applikation auch betrachtet werden.

Open-Source-Anwendungen wie alle Programme behandeln

Man darf nicht davon ausgehen, das Open-Source-Anwendungen nicht angegriffen werden, nur weil sie Open Source sind oder auf nicht geschäftskritischen Systemen ausgeführt werden. So sollten Unternehmen derlei Anwendungen ganz normal in ihre Sicherheitsstrategie integrieren, wie jeder andere Applikation auch. Dazu kann auch gehören, dass man den Quellcode mit entsprechenden professionellen Tools überprüft. Natürlich sollte Open-Source-Software auch ganz normaler Bestandteil des Patch-Managements sein, ebenso wie beim Monitoring und auch SIEM. Genauso sollten solche Anwendungen im Notfallplan (Incident Response Plan) berücksichtigt werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Enterprise Resource Planning (ERP)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close