Manipulation durch Mitwirkung: Sicherheitsrisiko Social Engineering im Open-Source-Kontext
In Bezug auf ihre Sicherheitslage haben Open-Source-Projekte mindestens eine Besonderheit: Die kollaborative Entwicklung ist einerseits eine Stärke, kann andererseits durch Social-Engineering-Angriffe aber auch als Angriffsfläche ausgenutzt werden. Dabei werden statt technischer Schwachstellen menschliche Eigenschaften ausgenutzt, also Menschen getäuscht, um Zugang zu Informationen oder Systemen zu erlangen. Unser Fokusbericht 01 der neuen Förderlaufzeit befasst sich deshalb mit Maßnahmen zur Risokoreduktion von Social-Engineering-Angriffen und den damit verbundenen Herausforderungen.
Angriffe auf Infrastrukturbausteine
Social-Engineering wird zunehmend als Angriffsmuster gegen digitale Infrastruktur eingesetzt. Phishing-Mails oder Anrufe von vermeintlichen Enkeln sind Beispiele für Social Engineering aus dem privaten Raum. Zunehmend treten solche Manipulationspraxen auch in der kollaborativen Softwareentwicklung auf Plattformen wie GitHub, GitLab oder Codeberg auf. Angreifer*innen versuchen dort durch durchaus langwierige und komplexe Täuschungsmanöver Projektzugänge zu erschleichen, um Schadcode einzuschleusen. Spätestens seit dem Angriff auf xz-utils, eine zentrale FOSS-Bibliothek, im Jahr 2024 steht dieses Thema auf der Sicherheitsagenda für Open-Source-Infrastruktur.
Den vollständigen Bericht findet ihr hier, Kapitel 2 führt in die Thematik ein.
Ebenen für Gegenmaßnahmen
Für den Bericht haben wir Gegenmaßnahmen von unterschieldichen Akteur*innen auf verschiedenen Ebenen zusammengetragen:
- Projektebene: Regeln und Strukturen, technische Sicherheitsmaßnahmen
- Entwicklungsplattformen: Moderation, Reputationsmechanismen
- Policyebene und Förderung: Gesetzgebung, Kapazitätsaufbau und Förderprogramme
Den vollständigen Bericht findet ihr hier, Kapitel 3 befasst sich mit Maßnahmen zur Risikoreduktion.
Stimmen aus der FOSS-Community und von Geförderten
Um diese Maßnahmen im Kontext des Prototype Fund zu verorten und Stimmen aus der FOSS-Community einzubinden, haben wir Interviews mit durch den Prototype Fund geförderten Projektverantwortlichen geführt und einen Workshop auf einem Chaos-Computer-Club-Event durchgeführt.
Neben technischen Maßnahmen wurden soziale Faktoren hervorgehoben, darunter:
- persönlicher Vertrauensaufbau
- Menschliche Fehlbarkeit
- unterschiedliche Betroffenengruppen entlang der Softwarelieferkette
Zentrale Herausforderungen zeigen sich darüber hinaus in Bezug auf:
- strukturelle Aspekte, die die Abwehr von Social-Engineering Angriffen erschweren
- die Notwendigkeit von politischem und wirtschaftlichem Willen
- Ressourcenaufbau
Abwägungen für FOSS-Ökosystemen
Social-Engineering-Angriffe finden im komplexen und sozialen FOSS-Ökosystemen statt und erfordern daher Sicherheitsansätze, die über formale und prozedurale Maßnahmen hinausgehen. Interviews und Workshop unterstreichen, dass Maßnahmen besonders vielversprechend sind, wenn sie die sozialen Strukturen, Bedürfnisse der Beitragenden und den Vertrauensaufbau berücksichtigen und ein gesundes Ökosystem stärken. Gleichzeitig verschärfen begrenzte Ressourcen und strukturell besser ausgestattete Angreifer*innen die Lage, sodass der Umgang mit Social-Engineering einen sensiblen Balanceakt zwischen Offenheit und Sicherheit darstellt und nachhaltige Finanzierung, Bewusstsein sowie politischen Willen zur Absicherung digitaler Open-Source-Infrastruktur erfordert.
