Digital souverän: Open-Source-Software automatisiert auf Qualität und IT-Sicherheit überprüfen

News /

In der öffentlichen Verwaltung ist die Digitalisierung in vollem Gange. Open-Source-Software gilt dabei als transparentes, kosteneffizientes und flexibles Instrument. Das Fraunhofer IEM entwickelt Werkzeuge für alle an der Softwareentwicklung beteiligten Rollen (Entwicklerinnen und Entwickler, Product Owner und Manager). Konkret entsteht derzeit ein Werkzeug für die Plattform Open CoDE, mit der das Bundesinnenministerium Open-Source-Projekte für die öffentliche Verwaltung bereitstellt. Im Interview erläutern Andreas Reckert-Lodde, Geschäftsführer des Zentrums Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS), und Prof. Dr. Eric Bodden, Direktor Softwaretechnik und IT-Sicherheit am Fraunhofer IEM, warum und wie sie die IT-Sicherheit der Open-Source-Plattform sicherstellen wollen.

Eine Frau schaut auf einen Bildschirm
© Adobe Stock / Restyler
Das Fraunhofer IEM und das Fraunhofer FKIE entwickeln gemeinsam den Fraunhofer Software Project Health Analyzer (SPHA), um eine sichere und qualitativ hochwertige Digitalisierung der öffentlichen Verwaltung zu ermöglichen.

Warum ist das Thema IT-Sicherheit in der öffentlichen Verwaltung so dringend und wichtig?

Reckert-Lodde: Ohne IT läuft in unserer digitalen Welt so gut wie nichts mehr. Die Verfügbarkeit von Systemen und Daten sicherzustellen und unerlaubten Zugriff sowie unberechtigte Veränderungen zu verhindern, ist deshalb für alle Bereiche von Gesellschaft und Wirtschaft absolut kritisch. Für die öffentliche Verwaltung gilt das ganz besonders: Alle Ämter und Behörden organisieren Abläufe, die für unser Zusammenleben unverzichtbar sind. Dabei verarbeiten sie eine große Menge sensibler Daten. Wird die Integrität dieser kritischen Infrastruktur verletzt, kann das schnell das tägliche Leben aller Bürgerinnen und Bürger auf den Kopf stellen. Und mehr noch: Kommt Zweifel an der IT der öffentlichen Verwaltung auf, kann das zu einem Vertrauensverlust in den Staat führen.

Für Cyberkriminelle ist diese Kritikalität ein willkommener Anlass zum Angriff. Entweder um Geld zu erpressen oder um Chaos zu stiften – teilweise auch im Auftrag anderer Staaten. Neben solchen Attacken ist aber noch ein Aspekt für die IT-Sicherheit wichtig, der häufig zu kurz kommt. Die Verfügbarkeit von Systemen und Daten wird auch durch die Abhängigkeit von einzelnen Anbietern gefährdet. Deshalb muss es das Ziel der öffentlichen Verwaltung sein, kontinuierlich die eigene digitale Souveränität auszubauen.

Links Porträt von einem Mann & links ein Zitat
© ZenDiS
Ein Screenshot der Projekt Analyse
© Fraunhofer IEM
Der Fraunhofer Software Project Health Analyzer (SPHA) analysiert automatisch die Projekte der Open Code-Plattform und ermöglicht einen schnellen Überblick sowie einen tiefen Einblick in die Qualität und die IT-Sicherheit des Projekts.

Das Zentrum Digitale Souveränität stellt mit Open CoDE eine zentrale Open-Source-Plattform zur Verfügung. Welchen Vorteil bietet Open CoDE gegenüber anderen Open-Source-Plattformen wie GitHub und Co?

Reckert-Lodde: Open CoDE soll sich als zentrale Plattform etablieren, auf der die öffentliche Verwaltung Open-Source-Software bereitstellt und weiterentwickelt. Ämter und Behörden haben damit dann die Möglichkeit, bestehenden Quellcode wiederzuverwenden und bei Bedarf an die eigenen Anforderungen anzupassen – statt eine Anwendung komplett neu zu entwickeln. Offensichtlich reduziert das die Kosten. Hinzu kommt, dass alle Nutzerinnen und Nutzer von jeder Verbesserung oder Weiterentwicklung profitieren. Dies gilt insbesondere für Verbesserungen in Bezug auf Qualität und IT-Sicherheit. Softwaremängel oder Sicherheitsschwachstellen können dank Open CoDE schneller erkannt und behoben werden, was letztendlich die digitalen Prozesse in der öffentlichen Verwaltung effizienter und sicherer macht.

Der spezifische Vorteil von Open CoDE gegenüber GitHub und Co. ist, dass nur verifizierte Entwicklerinnen und Entwickler der öffentlichen Verwaltung beziehungsweise Entwicklerinnen und Entwickler in deren Auftrag Zugriff haben. Von der Verwaltung für die Verwaltung – das ist das Motto. Das senkt das Risiko, dass destruktive Personen Schadcode in die Anwendungen einfügen. Zudem integrieren wir gerade Analysen, die es den Nutzerinnen und Nutzern erlauben, schnell zu erfassen, wie es um den Sicherheitsstatus eines Softwareprojekts bestellt ist. Generell soll Open CoDE zu einer sicheren Bezugsquelle von Software (Paketen und Libraries) und eine dedizierte Austauschplattform für die öffentliche Verwaltung werden, um unter anderem auch das Vertrauen der Verwaltung in die Nutzung von Open-Source-Software zu stärken.

 

Das Fraunhofer IEM und das Fraunhofer FKIE haben ein Werkzeug entwickelt, das automatisch die Qualität und IT-Sicherheit der Projekte der OpenCoDE-Plattform beurteilt und die Ergebnisse verständlich aufbereitet. Was steckt dahinter?

Bodden: Wenn eine Software in der öffentlichen Verwaltung wiederbenutzt werden soll, dann ist es wichtig, ihre Qualität und Sicherheit einschätzen zu können. Mit unserem Werkzeug Fraunhofer Software Project Health Analyzer (SPHA) bieten wir jeder Nutzerin und jedem Nutzer der Open CoDE-Plattform eine Entscheidungshilfe bei der Auswahl der richtigen Softwarelösung an. Zusätzlich haben die IT-Mitarbeiterinnen und IT-Mitarbeiter (Entwicklerinnen und Entwickler, Product Owner und Manager) in Behörden und Ämtern ab sofort die Möglichkeit, zu verstehen, wie gut die Qualität und IT-Sicherheit ihrer eigenen Projekte ist und wie sie diese verbessern können. Normalerweise benötigt eine Analyse der Qualität und der IT-Sicherheit viel Zeit und eine hohe Expertise. Dank SPHA wird dieser Schritt nun weitestgehend automatisiert, wodurch insgesamt die Digitalisierung in der Bundesrepublik effizienter, kostengünstiger und hochwertiger wird.

Links Porträt von einem Mann & rechts ein Zitat
© Fraunhofer IEM

Wie genau funktioniert das Werkzeug SPHA?

Bodden: SPHA ermöglicht eine transparente und nachvollziehbare Bewertung von Softwareprojekten. Dazu wird für jedes Softwareprojekt automatisiert eine Gesamtbewertung zwischen 0 und 100 Punkten ermittelt. Diese Punktzahl setzt sich aus den Einzelbewertungen zur IT-Sicherheit, interner Qualität, externer Qualität sowie Prozess-Compliance und Prozess-Transparenz zusammen. Nutzerinnen und Nutzer können die Gesamtbewertung über einen Klick weiter aufschlüsseln und die Einzelbewertungen nachvollziehen. Die Entwicklerinnen und Entwickler können zudem die Analyseergebnisse, denen die Bewertungen zugrunde liegen, einsehen. So erhalten sie auch Hinweise, wie sie ihre Software verbessern können. Die für das Werkzeug benötigten Daten stammen aus dem jeweiligen Software-Repository der einzelnen Softwareprojekte.

 

Hintergrund: Warum Open Source?

Der Begriff Open Source Software (OSS) bezeichnet Software, deren Quellcode öffentlich zugänglich ist und somit von Dritten eingesehen werden kann. Viele Open-Source-Lizenzen erlauben eine kostenfreie Nutzung und die Modifikation der Software. Die Software wird oft gemeinschaftlich von mehreren Organisationen und Unternehmen weiterentwickelt. OSS schafft dadurch auch Unabhängigkeit, denn die Weiterentwicklung kann dank öffentlichem Quellcode auch leichter von anderen Entwicklerinnen und Entwicklern übernommen werden, falls die ursprünglichen Verantwortlichen die Software nicht mehr betreuen. Darüber hinaus schafft die Einsehbarkeit des Quellcodes Transparenz: Vor dem Einsatz der Software ist es möglich, die Qualität und IT-Sicherheit genau zu untersuchen, was bei Closed Source Software kaum möglich ist. Mit dem Fraunhofer Software Project Health Analyzer (SPHA) entwickeln das Fraunhofer IEM und das Fraunhofer FKIE ein Werkzeug, das Open Source Software automatisiert analysiert und es auch Nicht-Entwicklerinnen und Nicht-Entwicklern ermöglicht, die Software bezüglich Qualität und Sicherheit zu bewerten.