Derzeit erleben wir täglich Lieferkettenangriffe auf öffentliche Repositories (GitHub, npm etc.), bei der Bibliotheken kompromittiert werden. Die britische Organisation NHS (National Health System) hat bereits die Anweisung gegeben, dass alle benutzten Repositories aus Sicherheitsgründen privat sein müssen.
Bei der Software-Entwicklung wird gerne auf fremde Bibliotheken zugegriffen, die entsprechende Funktionen bereitstellen. Es gibt dabei OpenSource-Bibliotheken aus öffentlichen Repositories – und es gibt private Bibliotheken.
Das Vorhaben des NHS, dass keine öffentlichen Repositories mehr für Software-Projekte verwendet werden sollen, ist zum 1. Mai 2026 in diesem Beitrag publik geworden.
Neowin.net hatte dies bereits Anfang Mai 2026 in diesem Artikel aufgegriffen, obiger Tweet verweist auf den The Register-Beitrag vom 12. Mai 2026. Der britische National Health Service (NHS) weist alle seine Technologieführer an, die Open-Source-Projekte der Organisation vorübergehend abzuschotten. Der Hintergrund ist, dass es Bedenken im Hinblick auf die Sicherheit gebe, da fortschrittlicher KI-Systeme wie Anthropics "Mythos" Sicherheitslücken aufdecken und diese ausgenutzt werden könnten.
In den veröffentlichten Richtlinien heißt es: "Öffentliche Repositories erhöhen das Risiko einer unbeabsichtigten Offenlegung von Quellcode, architektonischen Entscheidungen, Konfigurationsdetails und Kontextinformationen, die ausgenutzt werden könnten. Insbesondere gilt dies angesichts der rasanten Fortschritte bei KI-Modellen, die in der Lage sind, Code in großem Umfang zu verarbeiten, Schlussfolgerungen zu ziehen und zu argumentieren (z. B. Entwicklungen wie das Mythos-Modell).
Außerdem heißt es laut The Register, dass GitHub-Repositories nicht öffentlich sein sollten, "es sei denn, es besteht ein ausdrücklicher und außergewöhnlicher Bedarf". Die Entscheidung wurde vom Engineering Board des NHS genehmigt und gilt seit dem 11. Mai 2026. Ein Sprecher von NHS England erklärte gegenüber The Register, dies sei lediglich eine vorübergehende Maßnahme, die ergriffen wurde, während die Organisation ihre Cybersicherheitslage stärkt.
MVP: 2013 – 2016
Verständlich. Ist natürlich die Frage warum man nicht direkt auf einen internen Server umsteigt wobei der NHS chronisch unterfinanziert ist.
Wenn es richtig dumm läuft, dann war's das größtenteils mit dem ganzen Open Source Kram insbesondere das Klein/Einzel/Hobbyentwicklerzeugs um das sich nur unregelmäßig gekümmert wird was aber ggf. überall läuft man aber nicht unbedingt auf dem Schirm hat verliert im Prinzip täglich an Vertrauen!
Kommerzielle Anbieter sind Deiner Meinung nach also vertrauenswürdiger? Dann verdrängst Du wohl jede Menge gegenteiliger Informationen, die seit Jahren immer wieder für Schlagzeilen in der IT-Bubble sorgen.
Mimimi
Hat keiner gesagt, hat keiner behauptet. Anderen Ignoranz unterstellen während man in Closed Source tatsächlich im Quellcode zumindest von Extern keine Probleme entdecken kann was in der Natur der Sache liegt ist auch ziemlich heiß!
Wobei man dir zu Gute halten muss, dass direkt am Anfang Lieferkettenangriffe erwähnt werden und erst später auf entdeckte Lücken durch KI eingegangen wird was erstmal unterschiedliche Dinge sind.
Und das Gegenteil von Open Source ist natürlich auch nicht Kommerzielle Software.
"Klein/Einzel/Hobbyentwicklerzeugs"
Der passende xkcd dazu….
"https://xkcd.com/2347/"
>Ist natürlich die Frage warum man nicht direkt auf einen internen Server umsteigt
Weil der NHS eine öffentliche Institution ist und das UK "public money, public code" als Losung ausgegeben hat.
> wobei der NHS chronisch unterfinanziert ist.
Das ist natürlich eine "Irreführung" (oder Lüge, wenn es Absicht ist). Das UK gibt für seinen NHS etwa 11-12% des BIP aus; gleichauf wie Deutschland (mehr Einwohner) und Frankreich (weniger Einwohner). Ja, in Summe stimmt das dann, weil das BIP unterschiedlich ist, aber in Anteilen eben nicht. Was aber stimmt: Der NHS ist chronisch ineffizent (aus Patientensicht) und gleichzeitig dabei noch chronisch teuer. In Deutschland ist das Gesundheitswesen insgesamt auch sehr teuer, teurer als der NHS, aber deutlich effizienter (ebenfalls aus Patientensicht). Vor allem ist der NHS sehr zentralisiert und damit sehr anfällig für politisches Management, heißt, wenn sich London irgendwas ausdenkt, dann ist der NHS mit das erste System, das auch umsetzen wird. In Deutschland dagegen ist das Gesundheitswesen fragmentierter, quasi föderaler, und daher hat das System mehr Korrekturmöglichkeiten.
Tatsächlich ist das Problem hier eher, dass der NHS Trust typisch wie alle staatl. Organisationen weltweit reagiert: Anstatt das Problem (Lieferkettenangriffe) wirklich zu beheben, werden die Fenster verrammelt, während die Tür weiter für jeden geöffnet wird, der behauptet der Milchmann zu sein. An den Angriffen und dem Umgang mit denen ändert sich halt eigentlich nichts. Das ist reiner Aktionismus und das ist auch nicht die erste Instanz von reinem Aktionismus dort.
Dann ist ja unterm Strich Open Source nicht mehr Open…oder habe ich das mißverstanden….
Security by Obscurity hat noch nie funktioniert und ist wissenschaftlich erwiesen falsch! Vielleicht sollten die Verantwortlichen mal das Kerckhoffs'sche Prinzip nachschlagen.
"dies sei lediglich eine vorübergehende Maßnahme, die ergriffen wurde, während die Organisation ihre Cybersicherheitslage stärkt."
Bullshit! Es ist ein Offenbarungseid, gar keine funktinierenden Prozesse, Regeln und Maßnahmen zu haben. Wenn man welche hätte, könnte man in diese vertrauen.
Themen verfehlt aber Hauptsache den üblichen Platitüdenscheissdreck ins Internet gekotzt und das gleich doppelt weil man es anscheinend selbst nicht kapiert hat um dann mit Unterstellungen abzuschließen als ob jeder mit den aktuellen Zuständen hätte rechnen müssen.
Bitte bitte schenkt mir doch nur ein bisschen Aufmerksamkeit! Außer natürlich die angeblichen Kunden. Nicht das die sich dann Profis zuwenden.