Equifax Breach und die Folgen

Neuer Flexera Report zu Open Source Risiken deckt lückenhafte Software Supply Chain auf und warnt vor weiteren Cyberattacken durch Open Source Exploits

München - 17. Oktober 2017 - Hack von 143 Millionen Kundendaten der Kreditauskunftei Equifax wurden mit einem Schlag mehr als 40% der US-Bevölkerung Opfer einer Cyberattacke. Der Vorfall wird aber aller Voraussicht nach kein Einzelfall bleiben. Zu diesem Schluss kommt Flexera, Anbieter von Lösungen für Softwarelizenzierung, Cybersecurity und Installation, in seinem aktuellen Report “Open Source Risk – Fact or Fiction?”.

Einer der Gründe liegt unter anderem in der lückenhaften Software Supply Chain für Open Source Software (OSS). Bei Equifax beispielweise konnten die Kundendaten durch ein Exploit der Apache Struts CVE-2017-5638 Schwachstelle gehackt werden. Apache Struts ist ein Framework zur Entwicklung von Java-Webanwendungen und als Open-Source-Komponente weit verbreitet. Das macht sie zum beliebten Angriffsziel für Cyberkriminelle.

Tatsächlich ist mehr als 50% des gesamten Codes in kommerziellen und IoT-Softwareprodukten Open Source. Softwareanbieter und IoT-Hersteller nutzen zwar die Vorteile von OSS, sind sich aber oft nicht den Risiken bewusst. Das zeigt auch eine Untersuchung von über 400 Softwareanbietern, IoT-Herstellern und In-House-Entwicklungsteams:

  • Fehlende OSS-Policy: In nur 37% der befragten Unternehmen existieren Richtlinien zur Nutzung und Erfassung von Open Source. In den restlichen 63% der Unternehmen wird auf entsprechende Richtlinien verzichtet oder waren den Befragten  nicht bekannt.
  • Fehlende Verantwortlichkeit: 39% der befragten Unternehmen verfügen über keinen verantwortlichen Ansprechpartner für OSS-Compliance bzw. waren den Befragten  nicht bekannt.
  • Unbeachtete Best Practices: 33% der befragten Unternehmen tragen zu Open-Source-Projekten bei – davon haben jedoch 43% keine Richtlinien für die Nutzung und Erfassung von Open Source verankert (siehe „Fehlende OSS Policy“).

„Wir alle wissen um die enormen Vorteile von Open Source. Fertiger Code, der einfach und schnell genutzt werden kann, ermöglicht es, Produkte in kürzerer Zeit auf den Markt zu bringen”, erklärt Jeff Luszcz, Vice President of Product Management bei Flexera. „Wahr ist aber auch, dass die Mehrheit der Softwareentwickler den Einsatz von Open Source nicht nachverfolgt und die Mehrheit der Software Executives sich gar nicht bewusst ist, welches Sicherheits- und  Compliance-Risiko dadurch entsteht.“

Der Flexera Report belegt: Softwareanbieter und IoT-Unternehmen müssen mit der schnellen Verbreitung von Open Source Schritt halten und ihre Prozesse zum Management von Open-Source-Sicherheit und Lizensierung entsprechend anpassen. Andernfalls setzen sie sich selbst und ihre Kunden Risiken aus.

„Open-Source-Prozesse helfen dabei, Produkte und Markenimage zu schützen. Fehlt jedoch das Bewusstsein für die Risiken bei der Verwendung von Open Source, werden auch keine Schutzmaßnahmen getroffen“, so Luszcz. „Dies wirkt sich dann auf die gesamte Software Supply Chain aus und gefährdet sowohl Anbieter, deren Produkte Compliance und Sicherheitsrisiken enthalten, als auch ihre Kunden, die meist unwissentlich Open Source und andere Drittanbieter-Software nutzen und von eventuellen Sicherheitslücken nichts ahnen.”

Mehr Informationen:

Folgen Sie Flexera…

Über Flexera

Flexera entwickelt neue Methoden für Kauf, Verkauf, Verwaltung und Sicherung von Software. Wir betrachten die Softwarebranche als Lieferkette und sorgen für mehr Rentabilität, Sicherheit und Effektivität beim Kauf und Verkauf von Software. Unsere Monetarisierungs- und Sicherheitslösungen unterstützen Softwareverkäufer bei der Veränderung ihrer Geschäftsmodelle zur Steigerung wiederkehrender Umsätze und zur Minimierung der aus Open Source resultierenden Risiken. Unsere Lösungen für Software Asset Management (SAM) und Vulnerability Management reduzieren Verschwendung und Ungewissheit beim Kauf von Anwendungen und unterstützen Unternehmen dabei, zielgerichtet nur die benötigten Software- und Cloudservices zu erwerben, vorhandene Software zu verwalten und Risiken im Zusammenhang mit Lizenzcompliance und Sicherheit zu minimieren. Flexera hat die weltweit größte und umfangreichste Sammlung von Marktinformationen zu IT-Assets aufgebaut, mit der diese Lösungen und die gesamte Softwarelieferkette unterstützt werden. Wir sind seit über 30 Jahren im Geschäft. Über 1.300 motivierte Mitarbeiter tragen dazu bei, dass unsere mehr als 80.000 Kunden Jahr für Jahr einen ROI in Millionenhöhe erzielen. Besuchen Sie uns auf www.flexera.de.

Kontaktieren Sie uns:

Flexera
Amanda Ingalls
(949) 241-1515
aingalls@flexera.com

* Alle Marken von Drittanbietern sind Eigentum der jeweiligen Inhaber.

* Alle Marken von Drittanbietern sind Eigentum der jeweiligen Inhaber.