Kenne Deine Systeme: DORA zwingt Dich dazu!

Open Source im Fokus: DORA, Schwachstellen und die Sicherheit der Software-Lieferkette

Rotes Schild mit Schlüsselloch und SterneIn einer Welt, in der Open Source allgegenwärtig ist, setzen erfahrene Entwickler nicht mehr auf das Neuerfinden des Rads. Ihre Geheimwaffe? Open Source. Die Gründe für den Einsatz liegen in der Verbesserung der Produktivität, der Verkürzung der Entwicklungszeit und in der Reduzierung der Entwicklungskosten. Doch nun wirft die Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) ein neues Licht auf die Nutzung von Open Source. Hinter den Kulissen verbergen sich Anforderungen, die viele noch nicht kennen.

 
 

DORA ist die europäische Antwort auf den digitalen Wandel im Bereich der Finanzdienstleistungen und auf die zunehmende Gefahr von Cyberbedrohungen im Finanzsektor. Und DORA hat darum auch eine Fülle von Anforderungen an die Nutzung von Open Source, die den meisten noch gar nicht bewusst sind.

Am Anfang steht eine gründliche Identifikation und Auflistung sämtlicher Systeme und Bestandteile – ein „Kenne deine Systeme“ Ansatz, der nicht nur kommerzielle und selbstentwickelte Bausteine umfasst, sondern auch sämtliche Open-Source-Komponenten und ihre gegenseitigen Verflechtungen. Der Fokus von DORA sind Schwachstellen: Anforderung sind automatische Schwachstellenscans und der Behebung von Sicherheitslücken. Wöchentliche Scans sind zukünftig (ab Jan 2025) obligatorisch!

DORA verlangt eine fortlaufende Überwachung aller Produktbestandteile, einschließlich der Open-Source-Komponenten. Denn hier gilt: Sicherheit hat oberste Priorität – und das bedeutet, dass neu entdeckte Sicherheitslücken unverzüglich behoben werden müssen. Das Risiko in der Lieferkette wird stärker in den Mittelpunkt gerückt, wobei die Beseitigung von Schwachstellen durch Patches Vorrang hat. Willkommen im Zeitalter der digitalen Resilienz, in dem Open Source eine entscheidende Rolle spielt!

Die technische Grundlage für diese Anforderungen bildet eine Software-Stückliste („Software bill of materials“: SBOM). Diese enthält sämtliche genutzten Komponenten und deren Abhängigkeiten erfasst. Das schließt alle Bestandteile von Zulieferern mit ein, seien diese Open-Source oder kommerziell. Die Sicherheitsanforderungen an die Lieferkette übertreffen dabei die traditionellen Anforderungen an die Anwendungssicherheit. DORA strebt an, potenzielle Risiken in allen Komponenten zu minimieren. Auch das BSI hat bereits eine technische Richtlinie zu den Bestandteilen der SBOM herausgegeben.

Das Management von Open Source ist mittlerweile standardisiert, mit wichtigen Normen wie ISO/IEC 5230 für Lizenz-Compliance und ISO/IEC 18974 für den Umgang mit Sicherheitslücken. Zur einheitlichen Datenaustausch zwischen den Parteien bieten sich Standards wie ISO/IEC 5962, das Software Package Data Exchange-Format (SPDX) und CycloneDX an. Durch regelmäßige Überprüfungen der SBOM können Sicherheitslücken oder Updates für Open-Source-Komponenten schnell identifiziert werden, und geeignete Werkzeugketten ermöglichen eine weitgehend automatisierte Erstellung der SBOM nach einer ersten Einrichtungsphase.

Um die Anforderungen von DORA zu erfüllen zu können setzen Unternehmen zunehmend auf ein Open Source Office (OSPO), eine spezialisierte Organisationseinheit, die sich um Freie und Offene Software sowie Open Hardware und Standards kümmert. Einige Unternehmen bieten OSPO-Funktionen als Dienstleistung an, um den steigenden Anforderungen gerecht zu werden.

Zusammenfassung

Die DORA-Herausforderungen in Bezug auf Open Source sind lösbar, wenn man sich gut vorbereitet:

  1. Identifikation aller Open Source Komponenten, deren Abhängigkeiten inklusiver zugelieferter Software von Lieferanten durch die Erstellung der SBOM.
  2. Regelmäßige Prüfung auf neue Sicherheitslücken und Updates.
  3. Regelmäßige Aktualisierung der SBOM bei Software-Updates.

Bitsea hat langjährige Erfahrung in diesem Bereich und hilft ihnen gerne die Herausforderungen von DORA im Open Source Bereich zu verstehen und zu lösen.

Comments are closed.