Das Netzwerk der Bundesregierung wurde angegriffen. OK, das passiert dauernd, aber diesmal hatten die Hacker Erfolg. Wir wollen uns nicht in die Riege der Besserwisser einreihen, die den IT-Sicherheitsexperten der Bundesregierung ihren Job erklären wollen. Wir gehen davon aus, dass die Kollegen dort durchaus wissen, was sie tun.

Trotzdem finden wir das Thema natürlich hochspannend und beobachten es mit großem Interesse. Hier möchten wir nur einen Aspekt dieser hochkomplexen Story beleuchten: Open Source: Open Source ist nämlich nicht per se sicher. Verfechter quelloffener Software behaupten gerne, diese Art von Software sei sicherer, weil jeder den Quelltext einsehen, Fehler finden und korrigieren kann. Das ist aber nur theoretisch der Fall. In der Praxis zeigt sich, dass Open Source durchaus ein Angriffsvektor sein kann. So nutzte der Bundeshack Schwachstellen in der quelloffenen Lernplattform ILIAS aus, die bei der Bundesakademie für öffentliche Verwaltung eingesetzt wird.

Wie die Fachjournalisten von Golem herausgefunden haben, wurde die Software in einer veralteten Version mit offenen Sicherheitslücken betrieben. Die Angreifer brauchten also wahrscheinlich noch nicht einmal einen Zero-Day-Exploit. An diesem Beispiel wird klar, dass das offene Entwicklungsmodell Angreifer begünstigt. Im Handbuch der Angreifer steht wahrscheinlich ungefähr das Folgende:

1. Finde heraus, welche Open-Source-Komponenten im Netz deines Opfers von außen erreichbar sind.
2. Ermittle die Versionen dieser Komponenten.
3. Scanne die öffentlich verfügbare Issue Queue und den Quelltext regelmäßig nach gemeldeten Sicherheitslücken und Bugfixes.
4. Wenn eine Sicherheitslücke in der Issue Queue auftaucht, nutze diese aus, bevor ein Bugfix zur Verfügung steht, oder mindestens, bevor dein Opfer seine Software aktualisiert hat.

Natürlich kann man auf ähnliche Weise auch proprietäre Software ausnutzen. Aber dann muss man die Sicherheitslücken selbst herausfinden, sie werden einem nicht auf dem Silbertablett im Quelltext serviert.