Fast jeder Prozess und jede Lieferkette beinhaltet heute digitale Komponenten, und damit auch Software. Das bedeutet, dass die Sicherheit der Software ein wichtiger Faktor für die Sicherheit von Unternehmen und Organisationen ist. Praktische Lösungsansätze, um die Sicherheit von Software messbar zu erhöhen und zu überprüfen fehlen jedoch häufig. Die regelmäßigen Sicherheitsvorfälle, die in den Medien berichtet werden, und die damit verbundenen Schäden und Bedrohungen zeigen, dass es in diesem Bereich noch viel zu tun gibt.

In jüngerer Zeit gab es eine Reihe von Sicherheitsvorfällen, die auf Schwachstellen in der Software zurückzuführen waren. Ein Beispiel dafür ist der berüchtigte WannaCry-Ransomware-Angriff, der 2017 weltweit Schlagzeilen machte. Durch eine Schwachstelle in älteren Versionen von Microsoft Windows wurde die Ransomware in der Lage, sich auf Hunderttausenden von Computern zu verbreiten und dabei wichtige Dateien zu verschlüsseln. Die Hacker forderten Lösegeld von den betroffenen Benutzern, um die Dateien wieder freizugeben.

Ein weiteres Beispiel ist der SolarWinds-Hack, der im Dezember 2020 bekannt wurde. In diesem Fall wurde eine Schwachstelle in der Netzwerküberwachungssoftware von SolarWinds von Hackern ausgenutzt, um Zugriff auf zahlreiche Regierungs- und Unternehmensnetzwerke zu erlangen. Die Auswirkungen dieses Angriffs waren weitreichend und führten zu schwerwiegenden Sicherheitsbedenken in Bezug auf Software und Cyber-Sicherheit insgesamt.

Viel Aufsehen erregte vor Jahresfrist Log4Shell. Hier war zentral eine digitale Lieferkette betroffen, da die unsichere Integration einer Open Source Bibliothek in viele – auch proprietäre Produkte – zur Angreifbarkeit vieler Systeme führte.

Diese Beispiele zeigen, dass es wichtig ist, die Sicherheit von Software ständig zu verbessern, um zukünftigen Sicherheitsvorfällen vorzubeugen. Die Studie zum Vergleich von Sicherheit in Open Source und proprietärer Software, die von der Arbeitsgruppe IT-Sicherheit der Rheinische Friedrich-Wilhelms-Universität Bonn im Auftrag der OSB Alliance durchgeführt wird, soll einen Beitrag zur Verbesserung der Sicherheit von Software leisten.

Die Studie untersucht nicht nur den aktuellen Stand der Technik, sondern stellt auch klare Qualitätsmetriken bereit, mit denen die Sicherheit von Software bewertet werden kann. Darüber hinaus werden geeignete Werkzeuge zur Erstellung und Wartung von sicheren Softwarelösungen analysiert. Dadurch, dass sowohl proprietäre Software als auch Open Source Software betrachtet werden, können Anwender einen direkten Nutzen gewinnen und die Sicherheit ihrer Software gezielt verbessern.

Elmar Geese, Sprecher der WG Security der OSB Alliance, betont: „Im Kontext der Digitalisierung wird IT Sicherheit immer wichtiger, und damit auch die Sicherheit von Software. Es existieren zahlreiche Hinweise darauf, dass proprietäre Software und Open Source Software bereits so stark verwoben sind, dass keine scharfe Trennung der Sicherheitsniveaus und -ansprüche mehr möglich ist. Wir glauben, dass unsere Studie daher von grundsätzlichen Interesse für IT Anwender und Hersteller ist. Denn daran, das wir die IT Sicherheit ständig verbessern müssen, gibt es keinen Zweifel.“