SICHERHEIT VON OPEN-SOURCE-CODE: WAS DAS FÜR TELTONIKA NETWORKS BEDEUTET
#security, #rutos, #rut
Eines der wichtigsten Merkmale unserer Produkte ist ihre Software. Bei Teltonika Networks wird eine eigene Software (RutOS) verwendet, die auf OpenWRT basiert – das wiederum ein Open-Source-Code ist. Wenn Sie kein Computeringenieur sind, bedeutet "Open Source", dass der Code öffentlich zugänglich ist und überprüft werden kann, während Closed Source-Code versteckt und daher nicht verfügbar ist.
Der Softwarecode von Teltonika Networks würde nicht als Open Source betrachtet werden, da er stark von OpenWRT abweicht, auf dem er basiert. Außerdem stellen wir unseren Code nicht in seiner Gesamtheit öffentlich zur Verfügung (nur bestimmte Teile werden aufgrund der GNU General Public License GNU General Public Licensefreigegeben). Allerdings wirft die Tatsache, dass unser Code auf einem Open-Source-Projekt basiert, die folgende Frage auf: Bedeutet dies, dass unser Code weniger sicher ist?
Kurz gesagt – nein.
WENIGER IST NICHT MEHR
Im Bereich der Sicherheit, sei es im Cyberspace oder in anderen Bereichen, ist Information oft entscheidend: je weniger Informationen andere haben, desto sicherer sind Sie. Wendet man diese Logik auf die Debatte um Open Code versus Source Code an, so wird grundsätzlich davon ausgegangen, dass Closed Source sicherer ist, weil er für Cyber-Angreifer nicht direkt zugänglich ist. Diese Annahme ist jedoch falsch – vor allem, weil Angreifer den Source Code eigentlich nicht benötigen, um Sicherheitsschwachstellen zu finden. Das bedeutet nicht, dass der Quellcode keine Rolle mehr bei der Sicherheit spielt, sondern nur, dass er nicht so wichtig ist, wie Sie vielleicht annehmen. Außerdem kann ein geschickter Cyber-Angreifer einen Closed-Source-Code bei Bedarf mit einer Reihe von bekannten Tools und Methoden rückentwickeln, was bedeutet, dass das bloße Verbergen des Codes keine Garantie für Sicherheit ist.
Es ist auch wichtig zu wissen, dass offen zu sein bedeutet, dass Sie sich Ihrer Schwachstellen bewusst sind und die notwendigen Schritte ergreifen, um Ihre Sicherheit zu gewährleisten. Diese Schwachstellen können bei Closed-Source-Software weniger offensichtlich sein und es kann sein, dass Entwickler leicht davon ausgehen, dass die Geschlossenheit an sich schon eine Sicherheitsmaßnahme ist und dass zusätzliche Sicherheitsmaßnahmen eher fakultativ als obligatorisch sind. Das heißt, Closed-Source-Software kann sich zu sehr an ihre Geschlossenheit gewöhnen. Genau aus diesem Grund führen wir regelmäßig Sicherheitsbewertungen durch Drittanbieter durch, wie z.B. die kürzlich von NTT Security Holdings durchgeführte Prüfung für RutOS.
MEHR IST MEHR
Open-Source-Software hat einen wesentlichen Sicherheitsvorteil, den Closed-Source nicht hat – die öffentliche Sicherheit. Kurz gesagt, da Open Source weithin verfügbar ist und verwendet wird, haben mehr Menschen in der Branche einen Anreiz, die Sicherheit kontinuierlich zu gewährleisten. Wenn jeder den Schatz sehen kann, werden mehr Augen auf jeden gerichtet, der versucht, ihn zu rauben. Vincent Rijmen, ein Entwickler des Advanced Encryption Standard-Verschlüsselungsalgorithmus, erklärt, dass Open Source besser geeignet ist, um Sicherheitsschwachstellen leichter aufzuspüren und zu beheben: „Nicht nur, weil mehr Leute darauf achten können, sondern vor allem, weil das Modell die Leute dazu zwingt, eindeutigeren Code zu schreiben und sich an Standards zu halten. Das wiederum erleichtert die Sicherheitsüberprüfung.“
Ein gutes Beispiel dafür ist die Open Source Security Foundation, eine branchenübergreifende Organisation, die sich für die Förderung der Open-Source-Sicherheit für alle einsetzt. Solche Initiativen sorgen dafür, dass nicht nur der Quellcode offen zugänglich ist, sondern auch die Tools, Services, Trainings, Infrastruktur und Ressourcen, die für die Sicherheit benötigt werden.
BEMÜHUNGEN JENSEITS VON CODES
Sicherheit ist nur einer der Gründe, warum wir unsere Software auf OpenWRT basieren lassen. Der Leiter der Sicherheitsabteilung von Teltonika Networks, Deividas Vyšniauskas, erklärt es so: „Stabilität, Leistung und Flexibilität waren ebenfalls entscheidende Faktoren, ebenso wie der gute Ruf bei Netzwerk- und Sicherheitstechnikern. Von diesem Ausgangspunkt aus war die Abweichung notwendig, da wir eine vielseitige Firmware mit vielen Funktionen schaffen wollten, die alle Arten von Anforderungen der Industrie erfüllt.“
Zusammengefasst lässt sich sagen, dass die Sicherheit von Open-Source-Software nicht davon abhängt, ob es sich um Open-Source- oder Closed-Source-Code handelt. Keiner der beiden Codes ist für sich genommen eine Garantie. Vielmehr sind es die Umstände und die offene Struktur von Open-Source-Code, die zu den verstärkten kollektiven Bemühungen führen, ihn sicher zu halten. Mehr Hände arbeiten daran, und desto mehr Hände kümmern sich darum.
Das trifft sich sehr gut mit uns, denn Teltonika Networks wurde nach dem Prinzip der Konnektivität für den Fortschritt für alle gegründet. Unsere Software basiert auf offenem Code, dessen Sicherheit wir nicht nur vertrauen, sondern auf den wir auch sehr stolz sind.
