Das Risiko, das sich mit dem russischen Facebook-Engagement verbindet, verstärkt die Besorgnis über kostenlose oder Open-Source-Lösungen.

Die Verwendung kostenloser oder Open-Source-Lösungen im IT-Markt ist typischerweise mit Vorteilen wie Kostenreduzierung und Flexibilität verbunden. Doch eine Reihe von Fällen hat die Sicherheitsbedenken bei der Entscheidung für die Einführung dieser Systeme deutlich verschärft. Ein aktueller Vorfall war die Bestätigung Anfang Mai, dass die Open-Source-Software-Bibliothek "easyjson" mit den Entwicklern der russischen Gruppe VK in Verbindung steht. VK wird in Russland einem ähnlichen Einfluss und einer ähnlichen Bedeutung wie Facebook zugeschrieben. Da die Bibliothek in kritischen Projekten wie Kubernetes, Istio und Grafana weit verbreitet ist, besteht die Befürchtung, dass sie durch geopolitische Ziele, etwa durch Spionage oder Cyberangriffe, insbesondere in sensiblen Sektoren wie Verteidigung und Finanzen, kompromittiert werden könnte.

Für Rodrigo Gazola, CEO und Gründer von ADDEE, einem Unternehmen, das seit 30 Jahren im Markt für IT-Managementlösungen tätig ist, ist der Fall von „easyjson“ nur ein weiterer, der die Besorgnis der Unternehmen über Open-Source-Lösungen unterstreicht. „Der Umstand, dass diese technologischen Strukturen öffentlich sind und es jedem (einschließlich Angreifern) ermöglichen, sie zu studieren und Schwachstellen zu suchen, ist ein großer Risikofaktor. Die meisten Open-Source-Lösungen bieten keinen kostenlosen offiziellen Support, wodurch Unternehmen in kritischen Situationen völlig ohne Hilfe sind und nur auf Foren und die Community angewiesen sind“, erklärt er.

Gazola verweist auf weitere aktuelle Fälle im Zusammenhang mit Open-Source-Programmen. Im Dezember letzten Jahres wurde das Open-Source-KI-Bibliotheksprojekt Ultralytics YOLO durch eine Sicherheitslücke in den GitHub Actions-Automatisierungs-Skripten kompromittiert. Angreifer nutzten diese Schwachstelle, um bösartigen Code in die verteilten Softwareversionen einzuschleusen. Zuvor, im Oktober 2024, veröffentlichten Cyberkriminelle Hunderte von bösartigen Paketen im NPM-Repository, die Namen von legitimen Bibliotheken ähnelten (eine Technik, die als Typosquatting bekannt ist). Ziel war es, Entwickler zu täuschen, um diese kompromittierten Pakete zu installieren und die Ausführung von bösartigem Code auf ihren Systemen zu ermöglichen.

Laut seiner Aussage hat diese besorgniserregende Situation zu einem Anstieg der Nachfrage brasilianischer Unternehmen nach Lösungen von nachweislich sicheren und wirtschaftlichen Herstellern geführt. Schließlich sehen sich Organisationen, die sich für kostenlose oder Open-Source-Tools entscheiden, gezwungen, die Komplexität der selbstständigen Konfiguration eines Großteils der Systeme zu bewältigen, was Zeit und Energie kostet, im Austausch für einen angeblich reduzierten Endpreis für die Lösung. In Anbetracht dessen, dass darüber hinaus Kosten für Hosting und Wartung berücksichtigt werden müssen, und gegebenenfalls diese offenen Plattformen noch das Risiko von Datenlecks beinhalten, leidet das Verhältnis von Kosten und Nutzen tatsächlich stark darunter.   

 Der Vorstand behauptet, diese Nachfrage nach Herstellern auf dem Markt für IT-Dienstleister (MSPs) durch die positive Resonanz auf Lösungen wie HaloPSA und N-Able erkannt zu haben. Beide wurden durch exklusive Partnerschaften zwischen ADDEE und den globalen Marken nach Brasilien gebracht. Laut Gazola eliminiert die vollständige Abwicklung des Produkts in lokaler Währung die Dollar-Exposition und bietet finanzielle Planbarkeit in einem Markt, der stark von langfristigen Verträgen und wiederkehrenden Einnahmen abhängig ist.

Neben der Befreiung der Unternehmen von der Aufgabe der Konfiguration von Lösungen und der Sorgen um Hosting- und Wartungskosten, stellen Partner wie HaloPSA und N-Able sicher, dass Unternehmen keine Unterbrechungen durch jede Art von Missbrauch ungeschützter Open-Source-Technologien erleiden", erklärt er.

Der CEO von ADDEE betont, dass das Fehlen von Notfallplänen im Falle von Ausfällen oder Betrug, die über Open-Source-Software begangen werden, die Annahme von Open-Source-Software entmutigt und die Suche nach belastbareren Alternativen, die in die Budgets passen, gefördert hat.