Der Einsatz freier oder Open-Source-Lösungen im IT-Markt wird üblicherweise mit Vorteilen wie Kostenreduzierung und Flexibilität in Verbindung gebracht. Eine Reihe von Fällen hat jedoch Bedenken hinsichtlich der Sicherheit bei der Einführung dieser Systeme aufgeworfen. Eine der jüngsten Entwicklungen in diesem Zusammenhang war die Bestätigung Anfang Mai, dass Entwickler der russischen Gruppe VK, deren Einfluss und Bekanntheitsgrad in Russland mit dem von Facebook verglichen werden, an der Open-Source-Softwarebibliothek „easyjson“ beteiligt sind. Da die Bibliothek in kritischen Projekten wie Kubernetes, Istio und Grafana weit verbreitet ist, besteht die Sorge, dass sie für geopolitische Zwecke durch Spionage oder Cyberangriffe missbraucht werden könnte, insbesondere in sensiblen Sektoren wie Verteidigung und Finanzen.
Für Rodrigo Gazola, CEO und Gründer von ADDEE, einem Unternehmen, das seit 30 Jahren im Markt für IT-Management-Lösungen tätig ist, ist der Fall „easyjson“ ein weiteres Beispiel, das die Bedenken von Unternehmen gegenüber Open-Source-Lösungen bestärkt. „Die Tatsache, dass diese technologischen Strukturen öffentlich zugänglich sind und somit jeder (auch Angreifer) sie untersuchen und nach Schwachstellen suchen kann, stellt ein erhebliches Risiko dar. Dies gilt insbesondere, da die meisten Open-Source-Lösungen keinen kostenlosen offiziellen Support bieten, wodurch Unternehmen in kritischen Situationen völlig hilflos und allein auf Foren und die Community angewiesen sein können“, erklärt er.
Gazola führt weitere aktuelle Fälle im Zusammenhang mit Open-Source-Programmen an. Im vergangenen Dezember wurde das Ultralytics YOLO-Projekt, eine Open-Source-Bibliothek für künstliche Intelligenz, durch eine Sicherheitslücke in den GitHub Actions-Automatisierungsskripten kompromittiert. Angreifer nutzten diese Schwachstelle aus, um Schadcode in verteilte Versionen der Software einzuschleusen. Bereits im Oktober 2024 veröffentlichten Cyberkriminelle Hunderte von schädlichen Paketen im NPM-Repository, deren Namen legitimen Bibliotheken ähnelten (eine Technik, die als Typosquatting bekannt ist). Ziel war es, Entwickler zur Installation dieser manipulierten Pakete zu verleiten, um so die Ausführung von Schadcode auf ihren Systemen zu ermöglichen.
Seinen Angaben zufolge hat dieses besorgniserregende Szenario zu einer erhöhten Nachfrage brasilianischer Unternehmen nach Lösungen von Herstellern geführt, die als sicher und wirtschaftlich gelten. Denn bei der Wahl kostenloser oder Open-Source-Tools müssen Unternehmen die Konfiguration eines Großteils der Systeme selbst entwickeln, was Zeit und Energie kostet und im Gegenzug die vermeintlichen Kosten der Lösung senkt. Berücksichtigt man zusätzlich die Kosten für Hosting und Wartung, so verschlechtert sich das Kosten-Nutzen-Verhältnis erheblich, wenn diese offenen Plattformen auch noch das Risiko von Datenlecks bergen.
Der Manager gibt an, diese Entwicklung hin zu Herstellern im Markt der IT-Dienstleister (Managed Service Provider, MSPs) aufgrund der positiven Resonanz auf Lösungen wie HaloPSA und N-Able beobachtet zu haben. Beide Lösungen wurden im Rahmen exklusiver Partnerschaften zwischen ADDEE und globalen Marken nach Brasilien eingeführt. Laut Gazola eliminiert der vollständige Verkauf in Landeswährung das Dollar-Risiko und bietet finanzielle Planbarkeit in einem Markt, der stark von langfristigen Verträgen und wiederkehrenden Einnahmen abhängt.
„Partner wie HaloPSA und N-Able entlasten Unternehmen nicht nur von der Aufgabe, Lösungen zu konfigurieren, und von Sorgen um Hosting- und Wartungskosten, sondern sorgen auch dafür, dass Unternehmen keine Unterbrechungen durch den Missbrauch offener und ungeschützter Technologien erleiden“, erklärt er.
Der CEO von ADDEE betont, dass das Fehlen von Notfallplänen für den Fall von Fehlern oder Betrugsfällen im Zusammenhang mit Open-Source-Software deren Verbreitung gehemmt und die Suche nach robusteren Alternativen, die ins Budget passen, begünstigt hat.
