Schutz von Open Source Software in KRITIS Linux Foundation startet Brancheninitiative Akrites

Von Agnes Panjas 3 min Lesedauer

Anbieter zum Thema

Die Linux Foundation hat mit 20 Unterstützern die Brancheninitiative Akrites gestartet. Die Initiative soll Open Source Software gegen KI-gestützte Cyber-Angriffe härten und Schwachstellen koordiniert beheben, bevor sie ausgenutzt werden.

Wie die byzantinischen Grenzwächter, die auch unter dem Begriff Akrites bekannt waren, soll die gleichnamige Initiative der Linux Foundation kritische Open Source Software und Infrastruktur vor modernen Cyberbedrohungen verteidigen.(Bild:  Gemini / KI-generiert)
Wie die byzantinischen Grenzwächter, die auch unter dem Begriff Akrites bekannt waren, soll die gleichnamige Initiative der Linux Foundation kritische Open Source Software und Infrastruktur vor modernen Cyberbedrohungen verteidigen.
(Bild: Gemini / KI-generiert)

Die Linux Foundation hat gemeinsam mit 20 führenden Unternehmen den Start der gemeinsamen Initiative Akrites bekanntgegeben. Die Initiative zielt darauf ab, die Koordination der Behebung von Schwachstellen in Open-Source-Projekten mit den zuständigen Entwicklern zu verbessern, damit diese Schwachstellen nicht ausgenutzt werden können. Unterstützt wird Akrites von 20 Unternehmen und Unterstützern, darunter sind Technologieunternehmen, KI-Labore, Finanzinstitute und Sicherheitsanbieter.

KI beschleunigt Cyber-Angriffe auf Open Source Software

Open Source Software bildet das Fundament der modernen digitalen Wirtschaft. Sie stützt nahezu jeden Sektor – von Banken und dem Gesundheitswesen über Energie, Verkehr und Telekommunikation bis hin zu Regierungsstrukturen. Genau diese Allgegenwärtigkeit macht sie jedoch zu einem attraktiven Ziel für Angriffe.

Während das Aufspüren und Beheben schwerwiegender Sicherheitslücken früher auf beiden Seiten vergleichbar hohe Fachkenntnisse erforderte, verschiebt KI das Kräfteverhältnis massiv.

Heutzutage können modernste KI-Modelle ein großes Open-Source-Projekt innerhalb weniger Minuten scannen und Schwachstellen aufdecken. Sobald diese Funktionen allgemein verfügbar sind, werden Angreifer, denen bisher das technische Knowhow für ausgeklügelte Angriffe fehlte, über die notwendigen Werkzeuge verfügen, um solche Angriffe schnell durchzuführen.

Gleichzeitig ermöglichen es KI-Modelle aber auch „Sicherheitsverantwortlichen, Schwachstellen in Open Source Software in einer Geschwindigkeit und in einem Umfang zu finden und zu beheben, wie es bisher nicht möglich war“, betont Matt Wilson, Vice President und Distinguished Engineer bei AWS.

Schulterschluss gegen Cyberbedrohungen

Die gemeinsam ins Leben gerufene Initiative Akrites soll durch die Branchenkoordination die Verteidigung kritischer Infrastrukturnutzer und Verbraucher von Open Source unterstützen. Wie wichtig die Zusammenarbeit in dieser Problematik ist, macht Vijoy Pandey, SVP und General Manager bei Outshift by Cisco, deutlich: „Eine schwerwiegende Open-Source-Schwachstelle zu finden dauerte einmal Wochen für einen Experten. Es dauert jetzt Minuten für eine Maschine. Wenn Entwickler das Rennen verlieren, verlieren es alle anderen auch. Kein einzelnes Unternehmen, kein einzelner Entwickler und keine einzelne Regierung kann diese Lücke allein schließen.“

Auch Jamie Thomas, Enterprise Security Executive bei IBM, sieht die Bedrohung, die durch Frontier-KI, die Schwachstellenerkennung beschleunigt hat, als ein zu großes Risiko an, dass nicht „von einer einzelnen Organisation allein zu bewältigen“ ist. Ein vernetzter Ökosystem-Ansatz sei deshalb unverzichtbar.

Akrites bringt Struktur in die Abwehr von Cyberangriffen

In der Vergangenheit umfassten Sicherheitsreaktion auf KI-gestützte Cyberangriffe oftmals einen Flickenteppich von Organisationen, die häufig unabhängig an denselben Problemen arbeiteten, manchmal widersprüchliche Patches auslieferten oder Entwickler unter doppelten Berichten begruben. Akrites soll diese Sicherheitsreaktion nun grundlegend verändern. Die Initiative bietet folgende Services an:

  • Zentrale Koordination: Akrites fungiert als einzige, vertrauenswürdige Stelle für die Koordination, Behebung und Offenlegung von Sicherheitslücken.
  • Gemeinsames SIRT: Ein gemeinsames Security Incident Response Team (SIRT) dient als verlässlicher Ansprechpartner für Entwickler und verhindert eine Flut unkoordinierter Berichte.
  • Schutz kritischer Infrastruktur: Durch Zusammenarbeit mit Betreibern kritischer Infrastruktur wird die Patch-Bereitstellung unterstützt, bevor Systeme angegriffen werden können. Vertraulichkeit steht dabei im Zentrum aller Bemühungen.
  • Upstream-Fehlerbehebungen: Fixes fließen nach den Bedingungen der Entwickler in die ursprünglichen Projekte zurück.
  • „Maintainer of Last Resort“: Falls ein kritisches Paket keinen aktiven Entwickler hat, wird Akrites als Entwickler letzter Instanz fungieren, damit Fixes für die neueste Version rechtzeitig zu allen gelangen.
  • Staatliche Koordination: Die Initiative stimmt sich mit staatlichen Stellen ab, um öffentliches und privates Handeln zu synchronisieren.

(ID:50885965)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung