• Entwicklung/Architektur
  • Methoden
  • Programmiersprachen
• Betrieb
  • Künstliche Intelligenz
  • Datenbanken
  • Server
  • IT-Security
  • Speicher
  • Netzwerke
  • Virtualisierung
  • Verfügbarkeit
• Management und Recht
  • Projektmanagement
  • Digitalisierung
  • IT-Recht
  • IT-Selbständige
  • IT-Karriere
• Aktuelles
• Termine
• IT-Jobs

☰

• Entwicklung
• Betrieb
• Management und Recht
• News
• IT-Jobs
• Newsletter

Steffen Broßler 16. September 2025

Open-Source-Lösungen für professionelle IT-Sicherheit

Security ohne große Budgets

Primär Security_[MJ2] -relevant

Konzentrieren wir uns ausschließlich auf sicherheitsrelevante Produkte, können wir bereits eine ganze Menge von Open-Source-Lösungen ausschließen. Damit trotzdem eine übersichtliche Darstellung möglich ist, unterteilen wir die vorgestellten Tools in IAM-Lösungen, SIEM (Security Incident and Event Management) /XDR (Extended Detection and Response) /IDS _[MJ3] (Intrusion Detection System) und IPS (Intrusion Prevention System), Vulnerability Management, Software Security und Container / Kubernetes sowie Forensik. 

Sicherlich sind nicht alle Tools für alle Unternehmen im gleichen Maße relevant, weshalb wir mit den "großen" Lösungen IAM, XDR & SIEM und Vulnerability Management beginnen und die anderen Lösungen etwas zurückhaltend betrachten.

Identity and Access Management (IAM): Open-Source-Lösungen für zentrale Benutzerverwaltung

Jedes Unternehmen sollte eine zentrale Benutzerverwaltung haben. Diese dient der Verwaltung der eindeutigen Benutzeridentitäten, ermöglicht ein zentrales Passwortmanagement und zentrale Berechtigungsverwaltung sowie Deaktivierung oder Löschung von Benutzern nach deren Ausscheiden oder während einer längeren Abwesenheit. Hier haben sich zwei Lösungen als beständig erwiesen: 

• "Authentik" [1]
• "FreeIPA" [2] & "Keycloak" [3]

Authentik ist eine "All-in-one"-Lösung, die sowohl die zentrale Verwaltung der Benutzer als auch die Bereitstellung einer LDAP-Schnittstelle und eines Kerberos-Supports sowie der klassischen Web-Authentifizierungslösungen wie OAuth und SAML bietet. Durch den großen Funktionsumfang kann deshalb mithilfe eines einzigen Tools bereits mit überschaubarem Aufwand eine grundlegende IAM-Struktur aufgebaut werden.

FreeIPA und Keycloak teilen sich diese Funktionen auf und bilden damit, insbesondere in Kombination, ebenfalls eine vielversprechende Alternative zu Authentik. FreeIPA dient dabei Authentifizierung via LDAP und stellt zudem ein Kerberos KDC zur Verfügung. Außerdem erlaubt es eine DNS-Verwaltung, eine PKI sowie einen Samba-Dienst und rückt damit näher an den Platzhirsch Active Directory. Keycloak stellt dazu den Web-Part zur Verfügung und erlaubt die Authentifizierung via SAML und OAuth / OIDC an eigenen Webseiten oder Anwendungen mit Webinterface. Es ist möglich, komplexe Authentifizierungsworkflows zu erstellen, Passkeys und Passwort-Regeln zu definieren und für unterschiedliche Webseiten angepasste Authentifizierungsverfahren festzulegen.
Was letzten Endes besser ist, liegt immer im Auge des Betrachters. Die Verwaltung von zwei Anwendungen stellt stets einen größeren Aufwand dar, während bei Verwendung eines einzelnen Tools ein gewisses Konzentrationsrisiko _[MJ4] besteht.

Der Vollständigkeit halber sei erwähnt, dass beide Tools (bzw. die Kombination) eher der technischen Nutzerverwaltung dienen. Die Abbildung der organisatorischen Notwendigkeiten (Joiner-, Mover- und Leaver-Prozesse) inkl. der dazugehörigen Prozessschritte, der Einrichtung in unterschiedlichen Systemen etc. lässt sich dadurch nicht oder nur sehr bedingt abbilden. Dafür könnten weitere Anwendungen wie beispielsweise "OpenIDM" [4] in die eigene Systemlandschaft aufgenommen werden.

Nicht unerwähnt lassen möchte ich außerdem zum Beispiel "Authelia" [5], welches ähnlich wie Keycloak die Authentifizierung im Web ermöglicht.
Zu guter Letzt gibt es auch noch Lösungen mit geringerem Funktionsumfang wie beispielsweise "OpenLDAP" [6], welcher nur einen LDAP-Server bereitstellt, diese werden aber zugunsten der umfangreicheren Tools nicht weiter betrachtet.

Angriffserkennung mit XDR-, SIEM- und IDS-/IPS-Tools

Neben der zentralen Benutzerverwaltung ist es auch unerlässlich, die Vorgänge und anfallenden Logdaten im Unternehmen dauerhaft im Blick zu behalten und frühzeitig über mögliche Sicherheitslücken und Schwachstellen informiert zu sein. Hier kommen XDR- und SIEM-Tools ins Spiel.

Das vermutlich bekannteste hier ist "Wazuh" [7]. Wazuh bietet eine zentrale Übersicht und Verwaltung für registrierte Server und Clients und ermöglicht darüber eine einheitliche Übersicht über deren Sicherheitsniveau. Gemäß dem Motto des Extended Detection and Response (XDR) kombiniert Wazuh die Erkennung von Schwachstellen, möglichen Fehlkonfigurationen und die Analyse von Logdaten auf sicherheitsrelevante Ereignisse sowie eine durchgehende File-Integrity-Überwachung in einer Anwendung und Weboberfläche. Alles, was dafür benötigt wird, ist der installierte (oder alternativ via Docker ausgeführte) Client und die Verbindung zur zentralen Instanz. Das Sammeln, Übertragen, Auswerten und Darstellen übernimmt alles Wazuh.

Eng verwandt mit den SIEM- und XDR-Tools sind auch die IDS-/IPS-Tools. Diese dienen der eigenständigen Erkennung von Angriffen, beispielsweise durch Analyse des Netzwerkverkehrs oder der Logdaten. Teilweise decken XDR-Tools wie Wazuh diese Funktionen (mit) ab oder lassen sich durch Schnittstellen mit anderen IDS-/IPS-Tools ergänzen. So bietet Wazuh bereits von Haus aus eine Log-Analyse-Möglichkeit, um damit ein "Hostbased Intrusion Detection"-System abzubilden. Beispiele für klassische IDS-/IPS-Systeme sind "Snort" [8] oder "Bro-Security" (mittlerweile "Zeek") [9] für Netzwerk-IDS-Funktionen oder beispielsweise "OSSEC" [10] für hostbasierte IDS-/IPS-Funktionen, wie es von Wazuh bereits verwendet wird.

Natürlich gibt es auch hier weitere Produkte wie "Security Onion" [11] oder "MISP" [12], die einer Erwähnung wert sind – allerdings würde auch hier eine umfassende Betrachtung aller Tools den Rahmen sprengen.

Vulnerability Management

Während Wazuh bereits einen Grundstock an Schwachstellenmanagement enthält, gibt es noch weitere Anwendungen, die sich dem Finden und der Verwaltung von Schwachstellen verschrieben haben. Hier ist vermutlich das bekannteste das Tool "OpenVAS" bzw. "Greenbone Security Scanner" [13]. Das Tool wird von der in Osnabrück ansässigen Greenbone AG kontinuierlich weiterentwickelt und bietet neben der kostenpflichtigen Enterprise-Version auch die kostenfreie Community-Version, welche bereits viele relevanten Kernfunktionen bereitstellt. Es ermöglicht das automatische kontinuierliche Scannen von Servern auf bekannte Schwachstellen, sowohl über Portscans mit automatischen Versionsanalysen von außen als auch unter Verwendung von Logindaten und der anschließenden Analyse aller installierter Pakete direkt auf dem Server.

Ein weiteres, sehr bekanntes Produkt zum Scannen auf Schwachstellen ist "Trivy" [14] von Aquasecurity. Trivy hat sich hierbei besonders auf das Scannen von Abbildern konzentriert und wird häufig für das Scannen von Containerimages eingesetzt. Es kann aber auch Abbilder virtueller Maschinen oder ganze Git Repositories scannen und neben CVE auch auf Fehlkonfigurationen, fehlerhafte IaC-Nutzung usw. achten und ergänzt dadurch den Funktionsumfang von OpenVAS.

Software Security: Codeanalyse & Schwachstellenscanner für sichere Softwareentwicklung

Wer selbst für sich oder sein Unternehmen Software entwickelt und bereitstellt, sollte diese am besten regelmäßig und mindestens vor einem neuen Release auf vorhandene Schwachstellen, aber auch bekannte unsichere Entwicklungspraktiken analysieren. Eine sehr bekannte Lösung hierfür ist "SonarQube" [15], welches in seiner Community-Edition quelloffen zur Verfügung steht und kostenfrei für die private Verwendung eingesetzt werden darf. SonarQube wird vornehmlich dazu verwendet, den entwickelten Code statisch auf Schwachstellen und seine generelle Codequalität zu überprüfen. Das inkludiert das Auffinden von Programmierfehlern und sich wiederholenden Patterns, aber auch die Identifikation von bekannten schlechten Programmierverfahren. Die Einbindung in Build Pipelines ermöglicht eine "echte" CI/CD-Nutzung und das automatische Reagieren und Scannen auf neue Schwachstellen.

Aber auch die verwendeten Entwicklungstools wie Git und die eingesetzten Libraries sollten hinsichtlich ihrer bekannten Schwachstellen untersucht werden. Dafür bietet sich das Tool "OSV-Scanner" [16] als quelloffener Scanner für Schwachstellen in Abhängigkeiten der Software an. Es analysiert die eingesetzten Bibliotheken und weist auf bekannte Schwachstellen in den eingesetzten Bibliotheksversionen hin.

Container/Kubernetes

Neben dem bereits eingeführten "Trivy" [17], welches ein bekannter und optimal geeigneter Scanner für Containerimages ist, gibt es insbesondere im Kubernetes-Umfeld eine Vielzahl an Security Tools, die auf einer bestehenden Kubernetes-Instanz Sicherheitsanforderungen gewährleisten können.

Eine Alternative zu Trivy als Scanner für Containerabbilder stellt "Clair" [18] dar, welches sich ebenfalls darauf spezialisiert hat, Containerimages auf ihre Schwachstellen zu analysieren. Außerdem ist beispielsweise "Falco" [19] zu erwähnen, welches ein Security Monitoring für die Kubernetes Runtime darstellt, oder "Kubescape" [20], welches eine Kubernetes-Instanz hinsichtlich ihrer Security auditiert und Compliance Checks durchführt.

IT-Forensik: Open-Source-Tools zur Untersuchung von Sicherheitsvorfällen

Da IT-Security nicht nach dem Eintreten eines Vorfalls aufhört, werden hier der Vollständigkeit halber auch noch Security Tools erwähnt, die als Forensik-Tools zur Untersuchung eines bereits vergangenen Sicherheitsvorfalls eingesetzt werden können. Speziell für die technische Analyse von angegriffenen Servern sind die beiden Programme "The Sleuth Kit" [21] und "Autopsy" [22] sehr bekannt. Mithilfe dieser Tools können komplette Dateisysteme analysiert, Daten extrahiert und gelöschte Dateien wiederhergestellt werden. Für die Analyse von Speicherabzügen (RAM) eignet sich das "Volatility"-Framework [23].

Zu allen drei Tools sei aber gesagt, dass es nicht zu empfehlen ist, diese ohne weitere Vorkenntnisse einzusetzen, insbesondere nicht, wenn es darum geht, einen ernsthaften Cybervorfall zu untersuchen. Denn hierbei ist neben der technischen Analyse auch darauf zu achten, dass die Beweiskette eingehalten wird und später zweifelsfrei nachvollzogen werden kann, dass die vorgebrachten Beweise korrekt ausgewertet und interpretiert wurden, da die gesicherten Beweise sonst ggf. nicht gerichtsfest sind.

Ergänzende Tools für IT-Sicherheitsmanagement & Mitarbeiterschulung

Neben rein technischen Tools, die direkt die IT-Security unterstützen, gibt es natürlich auch noch weitere Anwendungen, die eher auf organisatorischer Seite ihren Beitrag leisten – denn die Informationssicherheit hört nicht bei der Technik auf. Hier ist unter anderem der "CISO Assistant" [24] zu nennen, welcher als Management und Organisationswerkzeug demjenigen unter die Arme greift, der im Unternehmen für die Einhaltung der Richtlinien wie beispielsweise der ISO27001 verantwortlich ist. Mithilfe eines umfangreichen Katalogs an Anforderungen, einer assistierten Risikobewertung und einer Menge an kleineren Helfern stellt das Tool eine sinnvolle Erweiterung des Funktionsumfangs zur Verfügung. Daneben gibt es beispielsweise "OpenGRC" [25], welches ebenfalls bei der Einhaltung der Anforderungen und Richtlinien unterstützt und damit eine Alternative zum CISO-Assistent darstellt.

Neben klassischen Verteidigungstools gibt es beispielsweise mit "goPhish" [26] auch eine Open-Source-Lösung, um selbst Phishing-Kampagnen im eigenen Unternehmen zu simulieren und die Awareness der eigenen Mitarbeiter zu stärken. Mit einem umfangreichen Kampagnenmanagement, Landing Pages, E-Mail-Templates und einem Management-Backend können selbst weniger erfahrene Manager einfach Phishing-Simulationen durchführen. Wer darüber hinaus selbst seine Mitarbeiter mit kleinen Aufgaben schulen möchte, bekommt mit "CTFd" [27] eine Plattform an die Hand, um eigenständig Capture the Flag Events (CTF) zu veranstalten, muss sich dabei aber natürlich noch selbstständig um Aufgaben (Challenges) kümmern.

Sekundäre IT-Security

Neben den klassischen IT-Security-Produkten gibt es aber natürlich noch weitere Open-Source-Anwendungen, die einen Beitrag zur Erhaltung der firmeneigenen IT-Security leisten.

IaC
Zuerst sind hier Tools wie "Ansbile" [28] oder "Terraform" (bzw. "OpenTofu") [29] zu nennen, die ihren Anteil zu "Infrastruktur as Code" beisteuern. Ihren Hauptzweck erfüllen die Programme zwar darin, dass sie eine automatisierte Bereitstellung und Konfiguration von Infrastruktur zur Verfügung stellen – doch genau das ist gleichermaßen ein Sicherheitsvorteil. Einheitlich konfigurierte Systeme lassen sich deutlich einfacher sicher betreiben, da Updates und System-Härtungen einheitlich ausgespielt werden können. Auch nach einem Personalwechsel oder beim Wechsel in die Cloud ist es dadurch möglich, alle eingesetzten Systeme ohne oder nur mit wenig händischem Eingreifen zu administrieren und im Falle des Bekanntwerdens einer Sicherheitslücke gezielt Gegenmaßnahmen zu ergreifen oder Software Patches einzuspielen.

Git
Sowohl für die eigene Softwareentwicklung als auch für IaC hat sich "Git" [30] als Versionierungssystem längst durchgesetzt, darf aber auch in dieser Auflistung nicht fehlen. Zum einen, weil durch die Nachvollziehbarkeit Änderungen sowohl erkannt als auch einer Person zugeordnet werden können, zum anderen, weil die Bekanntheit des Produkts dazu führt, dass es eine Vielzahl an Programmen gibt, die mit Git interagieren können. Besonders zur Steigerung der Benutzerfreundlichkeit gibt es grafische Oberflächen zur Arbeit mit Git wie beispielsweise "Gitea" [31]. Aber auch weitere Automatisierungstools wie "Jenkins" [32] oder "GitLab" [33] Pipelines und dedizierte Security Tools für Git wie "Gitleaks" [34], welches sicherstellt, dass keine Geheimnisse im Git gespeichert werden, leisten einen wichtigen Beitrag zur IT-Security.

Risiken und Vorteile von Open-Source-Komponenten

Mit welchen Vor- und Nachteilen die Verwendung von Open-Source-Produkten  einhergeht, wurde in unterschiedlichen Formaten bereits ausführlich diskutiert und soll hier auch nicht noch einmal rezitiert werden.

Es lässt sich aber natürlich trotzdem die Frage stellen, ob es bei den gegebenen Vor- und Nachteilen empfehlenswert ist, seine IT-Security auf Open-Source-Komponenten aufzubauen.
Da sich in der gesamten IT-Welt beobachten lässt, dass vermehrt Open-Source-Komponenten eingesetzt werden, auch als Bestandteil von proprietär entwickelten Anwendungen, ist hier keine strikte Trennung nach "sicherheitsrelevant" möglich. Die zunehmende Verteilung von Software und die steigende Vernetzung sorgen dafür, dass immer mehr Software potenziell das Ziel von Angreifern wird und damit auch als "sicherheitsrelevant" einzustufen ist. Warum sollte man also dafür einen anderen Maßstab anlegen als für Software, die direkt Sicherheitsfunktionen wahrnimmt? Argumente wären weitreichendere Berechtigungen oder geringere Überwachung, da die Software selbst überwachen sollte. Das stimmt natürlich – allerdings übernehmen auch Webserver und Datenbanken tragende Rollen und sorgen im Falle eines Ausfalls oder Angriffs für massiven Schaden.

Fazit

Was kann man also abschließend sagen? Mit den hier vorgestellten quelloffenen Werkzeugen lässt sich schon ein solider Start hinlegen. Und wer mit einer soliden Struktur startet und bewusst eine Sicherheitskultur aufbaut, kann später immer noch zu einem teuren Produkt wechseln, weiß dann aber bereits, worauf er achten muss und welche Vorteile er sich vom Kauf der Software erhofft.

Wer sich bezüglich seiner Sicherheitsbemühungen ausschließlich auf Software verlässt, macht ohnehin einen großen Fehler – denn Security ist überall. Wenn dieser Ansatz konsequent verfolgt wird, die Mitarbeiter geschult sind, nicht nur ein Produkt, sondern mehrere Tools kombiniert verwendet werden und die grundlegende Struktur gesund und sicher ist, kann man mit den kostenfreien und quelloffenen Produkten schon einen soliden Start hinlegen, von dem sich viele noch eine Scheibe abschneiden könnten.

Autor