Ein Interview mit Marcel Scholze. Der Leiter des Bereichs Open Source Software Services bei PwC Deutschland spricht über die Bedeutung der neuen Open Source Security ISO, ISO/IEC 18974:2023, insbesondere vor dem Hintergrund der jüngsten Sicherheitsvorfälle im Open Source Ökosystem.
Über Marcel Scholze: Marcel Scholze ist Diplom Informatiker und leitet als Director bei PwC Deutschland den Bereich Open Source Software Services. Er engagiert sich als Vorstand im Bitkom e. V. Arbeitskreis Open Source, bei der The Linux Foundation im OpenChain Projekt, leitet die Germany Work Group und ist auf internationalen Open Source Kongressen Redner. Sein Team und er führen Open Source Beratungs- und Prüfungsprojekte in allen Branchen durch und erbringen professionelle Open Source Compliance und Security Managed Services in der öffentlichen Verwaltung, im Mittelstand und Großunternehmen.
Wie wichtig ist die ISO 18974 angesichts der zunehmenden Bedeutung von Open Source im heutigen digitalen Zeitalter und welche Rolle spielt die neue ISO Norm für die Bewältigung von Sicherheitsproblemen im Open Source Ökosystem und in der Software-Lieferkette?
Marcel Scholze: Die neue ISO 18974 hat eine hohe Relevanz. Im Laufe der Jahre haben wir verschiedene Sicherheitsvorfälle im Open Source Ökosystem erlebt, wie den Heartbleed-Bug in OpenSSL oder die jüngsten Angriffe auf SolarWinds oder durch Log4Shell. Diese Ereignisse zeigen Schwachstellen auf und unterstreichen die Notwendigkeit robuster Sicherheitsprozesse für Open Source.
Die ISO 18974 bietet ein umfassendes Framework, um diese Herausforderungen zu bewältigen und ermöglicht es den Anwendenden, Sicherheitsrisiken rechtzeitig und professionell zu managen.
In Bezug auf die Sicherheit von Software gibt es häufig eine Debatte, was sicherer ist, Open Source vs. Closed Source. Wie ist Dein Standpunkt dazu?
Scholze: Open Source ist grundsätzlich nicht weniger sicher als Closed Source. Allerdings bedeutet die transparente Natur von Open Source, dass Schwachstellen zwar von der Community schneller erkannt und behoben werden können, aber auch für potenzielle Angreifer besser sichtbar sind. Es geht nicht darum, dass Open Source weniger sicher ist, sondern darum, Open Source professionell zu managen. Und hier kommt die ISO 18974 ins Spiel – sie bietet einen strukturierten Ansatz, um optimale Sicherheitsmaßnahmen für Open Source-Komponenten zu gewährleisten.
Wichtig ist auch hervorzuheben, dass die Mehrheit der Closed Source Software Open Source Komponenten enthält – somit ist die Sicherheit von Open Source Software auch für Closed Source Produkte vorteilhaft.
Kannst Du bitte kurz die wichtigsten Grundsätze und Besonderheiten der ISO 18974 erläutern?
Scholze: Ja, natürlich. ISO 18974 konzentriert sich auf:
Einfach ausgedrückt: Der Standard schafft eine solide Grundlage für das sichere Management von Open Source.
Wie ist PwC mit der Veröffentlichung der ISO 18974 positioniert, um Unternehmen bei der Einführung und Umsetzung dieses neuen Standards zu unterstützen?
Scholze: Wir bei PwC haben schon immer eine Vorreiterrolle bei der Unterstützung von Unternehmen im Umgang mit der Komplexität und den Vorteilen von Open Source gespielt.
Mit unserer umfassenden Erfahrung und unserem funktionsübergreifenden Fachwissen im Open Source Management und der bereits existierenden ISO 5230 sind wir ideal aufgestellt, um Unternehmen bei der Einführung der ISO 18974 zu unterstützen.
Vom Verständnis der Kernprinzipien über die praktische Umsetzung bis hin zur fortlaufenden Einhaltung bieten wir umfassende Unterstützung. Unser oberstes Ziel ist es, das Vertrauen in die Open Source-Lieferkette zu stärken, und die ISO 18974 ist ein zentrales Instrument auf diesem Weg.
Warum würdest Du Organisationen, die noch unentschlossen sind, die Einführung der ISO 18974 empfehlen?
Scholze: Es gibt mehrere Gründe, die Implementierung der ISO 18974 voranzutreiben:
Zum einen richten Regulierungsbehörden sowohl auf nationaler als auch auf internationaler Ebene ihre Aufmerksamkeit zunehmend auf das Thema Open Source Sicherheit (siehe z. B. Digital Operational Resilience Act (DORA), Guidelines on Securing the IoT Supply Chain oder den EU Cyber Resilience Act (CRA)) und fordern ein state-of-the-art OSS Management, um die Resilienz von IT-Systemen zu stärken. Mit der Einführung der ISO 18974 gehen Unternehmen einen wichtigen Schritt, um die Einhaltung der aktuellen gesetzlichen Anforderungen zu erreichen.
Da die Software-Lieferketten immer komplexer werden und die globalen Geschäftsbeziehungen zunehmen, steigt außerdem die Bedeutung von qualitativ hochwertigen SBOMs (Software Bills of Materials). Diese spielen eine entscheidende Rolle im effektiven Umgang mit Security Aspekten von Open Source Komponenten innerhalb der Lieferkette. Die ISO 18974 erkennt und betont die Notwendigkeit der professionellen Erstellung von SBOMs.
Letztlich geht es bei der Einführung von ISO 18974 nicht nur um die Compliance mit einer Norm, sondern darum, die Integrität und den Ruf des Unternehmens zu schützen. Da die Open Source Community und Nutzung exponentiell wächst, ist es unerlässlich, proaktiv zu handeln. Dieser Standard bietet einen klaren Fahrplan und mit dem richtigen Partner wie PwC können sich Unternehmen sicher im Open Source Ökosystem bewegen und sicherstellen, dass Innovation und Sicherheit Hand in Hand gehen.
„OpenChain ist stolz darauf die Arbeit zum Aufbau von Vertrauen in Lieferketten mit ISO/IEC 18974 fortzusetzen. ISO/IEC 18974 ist ein Schwesterstandard für den Betrieb hochwertiger Open-Source-Sicherheitsprogramme und stellt eine einfache, branchenübergreifende Lösung für Organisationen aller Größen entlang der Lieferkette dar. Die Bereitstellung kommerzieller Dienstleistungen und die Zertifizierung durch Dritte ist eine Schlüsselkomponente, um eine realistische, zielgerichtete Marktlösung zu gewährleisten. PwC ist in dieser Hinsicht ein wichtiger Partner und hat maßgeblich dazu beigetragen, dass die Open-Source-Lieferkette die Effizienz bei der Bereitstellung innovativer Lösungen auf dem Markt steigern konnte.“
Einordnung von Shane Coughlan,General Manager des OpenChain-Projekts (The Linux Foundation), das die ISO 18974 initiiert hatDirector Open Source Software Services & IT Sourcing, PwC Germany
Tel.: +49 151 16157049