Vom Risiko, Quellcode selbst zu hosten

Das PHP-Entwicklerteam hat erklärt, dass in der selbst gehosteten git-Installation Schadcode eingeschmuggelt wurde. Cyberkriminelle hatten auf den internen git-Server zugegriffen und dort schädlichen Programmcode in das offizielle Quellcode-Repository eingeschleust. Dieser ermöglicht das Ausführen von beliebigem Code auf einem System, auf dem die kompromittierte php-Version installiert ist. Der anfällige Quellcode stand nur wenige Stunden online, bevor er wieder beseitigt wurde.
Die Angreifer haben vorgegeben, einen Tippfehler zu verbessern, um den Schadcode einzuschleusen. Der eigentliche Inhalt war aber wesentlich brisanter als das. Die Befürchtung, dass der git-Zugang eines Entwicklers kompromittiert war, bewahrheitete sich nicht. Die PHP-Group setzte intern ein selbst entwickeltes System namens „karma“ ein, um Schreibzugriffe auf das Code-Repository zu managen. Dieser war nach ersten Erkenntnissen jedoch nicht betroffen.
Für die PHP-Group hat der Fall Folgen. Die Verantwortlichen haben entschieden, dass ein „unnötiges Sicherheitsrisiko“ besteht, den Quellcode selbst zu hosten. Daher setzt das Unternehmen künftig auf die Github-Plattform und verabschiedet sich von der Eigenentwicklung „karma“. Wer in Zukunft Quellcode einchecken will, muss von der PHP-Group akkreditiert sein und auch eine Zweifaktoranmeldung in seinem Github-Konto aktiviert haben.

Cloud oder nicht? – Das ist hier die Frage

Zuletzt wurde auch in anderen Unternehmen vermehrt lebhaft darüber diskutiert, einzelne Dienste auszulagern, statt sie selbst zu hosten. Zwei Meinungen stehen sich gegenüber: Die einen stehen Cloud-Lösungen skeptisch gegenüber und wollen die Hoheit über die eigenen Daten selbst behalten. Auf der anderen Seite steht die Position, dass eine Auslagerung in die Cloud wirtschaftlicher ist, weil der Verwaltungsaufwand für selbstgehostete Lösungen entfällt. Beide Gruppen haben gute Argumente auf ihrer Seite. So betraf der Vorfall um die Exchange-Sicherheitslücken ausschliesslich Unternehmen, die eigene Exchange-Server betreiben. Die Betreiber mussten praktisch sofort die Sicherheitslücken stopfen. Demgegenüber konnten sich Kunden einer von Microsoft gehosteten Exchange-Lösung entspannt zurücklehnen. Der Vorfall bei der PHP-Group weist Ähnlichkeiten auf: Da künftig die Github-Plattform zum Einsatz kommt, muss sich hier niemand um das Patching und die Wartung der lokalen git-Instanz kümmern. Kommt es auf Github zu sicherheitsrelevanten Problemen, dann reagieren qualifizierte Experten umgehend. Somit ergibt der Wunsch, Dienste in die Cloud zu verlagern, durchaus Sinn.
Auf der anderen Seite steht das Dogma „mein Netzwerk, meine Daten“. Der Brand in einem Rechenzentrum vor einigen Wochen hat den Anhängern dieser Meinung gute Argumente geliefert. Denn die Frage „Was, wenn der Clouddienst plötzlich aus irgendeinem Grund vom Netz geht?“ ist in diesem Szenario absolut berechtigt. Und immer noch besteht Misstrauen, weil unklar ist, wer eventuell unbefugterweise Zugriff auf Daten eines Unternehmens erhält, wenn Unternehmen das Heft aus der Hand geben. Diese Überlegung wiegt alle anderen Argumente für eine Migration in die Cloud auf.

Gibt es eine Lösung?

Die Auslagerungsfrage lässt sich nicht eindeutig beantworten. Denn die Wahrheit liegt irgendwo dazwischen. Dabei spielt die Wirtschaftlichkeit allerdings eine wichtige Rolle. Grosse Unternehmen können wesentlich einfacher Ressourcen für selbst gehostete Mailserver, Code Repositories und dergleichen aufbringen. Diesen Luxus können oder wollen sich kleine Unternehmen oft nicht leisten, weil es auch an Fachpersonal fehlt. Denn beim Thema IT-Sicherheit ist in der Regel Spezialwissen erforderlich. Aber genau das fehlt vielen kleineren Firmen.  Hinzu kommt, dass sie dieses Know-how und diese Expertise in Form von Neueinstellungen nicht einkaufen können. Spezialisten in diesem Bereich sind am Markt dünn gesät und daher stark nachgefragt.
Spinnt man diesen Gedankengang weiter, dann kommt der eine oder andere vielleicht zu dem Schluss, dass Sicherheit für kleinere Unternehmen ein zwar nobles, aber doch unerreichbares Ziel darstellt. Gerade wenn man sich vor Augen führt, dass grosse Firmen eher die Mittel haben, eigene Spezialisten einzustellen oder auszubilden. Damit entsteht schnell das Bild: „Entweder ich habe alles selbst im Griff und bin sicher – oder ich bin in der Cloud.“ Das ist aber zu einfach gedacht, denn der Aufwand für die Unterhaltung einer lokalen Installation kann schnell die Vorteile zunichtemachen - vor allem, wenn Lücken nicht schnell genug gepatcht werden. Genau das ist jedoch in vielen Fällen an der Tagesordnung.

In Wirklichkeit kommt es aber gar nicht darauf an, ob und welche Cloud-Lösung ein Unternehmen einsetzt, sondern darauf, dass Ausweichmöglichkeiten existieren. Wer alles auf eine Karte setzt, tut sich langfristig keinen Gefallen. Fällt beispielsweise ein Cloud-Dienstleister aus – sei es durch einen Brand in einem Rechenzentrum oder „klassisch“ durch den Bagger, der die Leitung vor der Tür trennt – muss ein Unternehmen weiterhin handlungsfähig bleiben. Wenn ein kleiner Fehler oder ein einziges Ereignis die gesamte Firma zum Stillstand bringt, dann stimmt etwas ganz Grundlegendes nicht.

Es ist und bleibt am Ende eine Einzelfallentscheidung, ob und welche Teile der eigenen IT ausgelagert wird. Fest steht jedoch, dass die Geschwindigkeit, mit der Unternehmen auf eine Sicherheitslücke reagieren, über Wohl und Wehe mitentscheiden. Versorgungsketten, zu denen letztlich auch die PHP-Group mit ihrer quelloffenen Webseitenkomponente gehört, sind und bleiben die Achillesferse der gesamten IT. Denn Unternehmen und Kunden sind darauf angewiesen, dem Anbieter zu vertrauen. Bei Software, die an zentraler Stelle zum Einsatz kommt, haben die Endverbraucher kaum eine Möglichkeit, selbst zu reagieren.