Akamai Technologies hat an dem vom Weißen Haus veranstalteten Gipfeltreffen zur Sicherheit von Open-Source-Software teilgenommen und dabei die Gelegenheit genutzt, seine Ansichten und Empfehlungen zu diesem wichtigen Thema darzulegen. Die Verbesserung der Sicherheit von Open-Source-Software ist entscheidend, da sie eine kritische Grundlage für das Internet-Ökosystem darstellt.
Ebenso wichtig ist es jedoch, die Auswirkungen einer Sicherheitslücke nach ihrer Entdeckung möglichst schnell eindämmen zu können. Das Gipfeltreffen war mit Blick auf die kürzlich bekannt gewordene Sicherheitslücke Log4j besonders zeitnah einberufen worden. Akamai zufolge müssen Unternehmen Zeit und Ressourcen in Open-Source-Software investieren, um auch weiterhin Innovation und Sicherheit zu gewährleisten.
Das Unternehmen arbeitet seit Langem mit der Open-Source-Community zusammen und trägt zu offenen Standards bei. Unter anderem ist Akamai für die Internet Engineering Task Force (IETF), das World Wide Web Consortium (W3C), die Internet Security Research Group (ISRG), OpenSSL und den Linux-Kernel aktiv.
Akamai betont den Bedarf für Transparenz, Eindämmung und Informationsaustausch und fordert mehr Branchenunterstützung für die Verbesserung der Sicherheit von Open-Source-Software.
Das Unternehmen setzt sich für die folgenden fünf Säulen ein:
- Mehr Transparenz hinsichtlich der Verwendung von Open-Source-Technologien: Viele Unternehmen wissen nicht in vollem Umfang, welcher Open-Source-Code in ihren Umgebungen enthalten ist. Nur durch mehr Transparenz in Hinblick auf Netzwerke und deren Code Stack können wir neu auftretende Sicherheitslücken zuverlässig handhaben. Log4j war ein Black-Swan-Ereignis, das in eindrücklicher Weise in Erinnerung gerufen hat, dass die Regierung und der private Sektor Investitionen in Tools und Technologien priorisieren müssen.
- Identifizierung kritischer Open-Source-Bibliotheken sowie Unterstützung klarer Zuständigkeiten und Handhabung von Schwachstellen: Angreifer durchsuchen Open-Source-Bibliotheken nach Sicherheitslücken wie Log4j. Die Technologie-Community muss die Open-Source-Communities, von denen wir abhängen, unterstützen – durch aktive Mitwirkung und finanzielle Mittel.
- Erstellung wirksamer Eindämmungspläne für erkannte Exploits: Wir werden niemals alle Sicherheitslücken beseitigen können. Daher brauchen wir effektive Richtlinien zur Eindämmung, um Unternehmen und Verbraucher schützen zu können. Dies können wir durch umsetzbare Berichtsprozesse und Unterstützung für Technologielösungen erreichen.
- Verbesserung des Informationsaustauschs unter Regierungsbehörden und Branchenakteuren bei der Entdeckung von Schwachstellen: Je mehr Menschen an einem Problem arbeiten, desto schneller kann dieses behoben werden. Durch den Aufbau einer Community für den Informationsaustausch unter vertrauenswürdigen Sicherheitsanbietern können wir gewährleisten, dass Sicherheitslücken angegangen und Patches schneller allgemein verfügbar werden.
- Erweiterung der Regierungszulassung von Lösungen zur Verstärkung der Abwehr: Die Cyberkriminellen entwickelt sich rasch weiter und die Regierung muss flexibel vorgehen, um sicherzustellen, dass ihre Abwehrmaßnahmen wichtige Regierungssysteme und zentrale Infrastrukturen schützen können. In einigen Fällen könnte eine Notfall-Zulassung von Technologien vertrauenswürdiger Anbieter eine rasche Implementierung von Lösungen ermöglichen, auch wenn diese noch nicht von einer geeigneten Behörde zertifiziert wurden, um so schnell einen Schutz vor neuen Bedrohungen zu gewährleisten.