Sicherheitslücke in Deutschland: Mangelhafte Cyber-Abwehr
Die sogenannte Log4j-Sicherheitslücke ist ein Einfallstor für Kriminelle. Eine konzentrierte Kontrollmacht fehlt. Jetzt wäre ein guter Zeitpunkt.
Gar nicht lustig: Cyberalarm Foto: imago
Das Kommando „Alarmstufe Rot!“ signalisiert in vielen Filmen den kurz bevorstehenden Katastrophenfall. Meist knallt es dann irgendwo und es geht unmittelbar um Leben und Tod. So anschaulich ist die jüngste Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) nicht. Aus den technischen Spezifikationen kann kein Laie die Gefahren herauslesen. Nichts ist explodiert. Die Gefahr bleibt im Hintergrund, verbirgt sich in Programmierzeilen. Das macht sie so schwer verständlich.
Nachvollziehbar werden die Sorgen der Experten mit Blick auf die möglichen Folgeschäden, sollten Kriminelle das Einfallstor, die Log4j-Sicherheitslücke für Angriffe auf Unternehmen, Behörden oder Privatleute, nutzen. Der Verband der Internetwirtschaft spricht nicht umsonst von einem „neuen, erschreckenden Level“ der Bedrohung. Üblich waren bisher vor allem Angriffe auf Endgeräte wie den PC zu Hause oder auf Firmensysteme. Über Spam-Mails werden dabei oft Schadprogramme in das jeweilige System geschmuggelt. Anschließend wird es beispielsweise lahmgelegt und erst gegen Zahlung eines Lösegeldes wieder freigegeben.
In diesem Fall aber geht es um die Möglichkeit für Kriminelle, Zugriff auf ganze Server zu bekommen. Im Extremfall, der hoffentlich nicht eintreten wird, könnten sie etwa die Kontrolle über Smartphone-Hersteller übernehmen und die einzelnen Smartphones mit dem nächsten Update der Software manipulieren. Es ist nur eines von vielen denkbaren Szenarien, wenn die Cyberabwehr nicht schleunigst ins Rollen kommt. Und es erklärt die Alarmstimmung der Fachwelt.
Die Sicherheitslücke in dieser einen Anwendung deckt eine viel größere auf. Wirtschaft und Verwaltungen schützen sich nicht ausreichend gegen Cyberkriminalität. Das hat mehrere Ursachen, die teils schwer zu beseitigen sind. So kommt die wesentliche Software aus anderen Ländern, vor allem den USA. Auf deren Arbeit kann niemand hier Einfluss nehmen. Und es gibt keine perfekten Programme. Einfallstore für Cyberkriminelle sind praktisch nicht zu vermeiden. Das Betriebssystem von Microsoft umfasst rund 50 Millionen Programmzeilen.
Systematische Suche kostet Geld
Ein paar fehlerhafte reichen als Angriffsfläche aus. Andere Gründe für Lücken im Sicherheitsnetz sind aber durchaus zu schließen. So sind sogenannte Open-Source-Programme beliebt, weil sie kostengünstig sind und die Abhängigkeit von den Tech-Riesen verringern. In die Programmierung dieser offenen Software kann jeder hineinschauen. Damit könnten auch Schwachstellen rasch auffallen und beseitigt werden. Doch die systematische Suche danach kostet Geld und Zeit.
Die systematische Suche nach Schwachstellen kostet Zeit und Geld
Es gibt keine Institution, die diesen Sicherheitsjob im gesellschaftlichen Auftrag übernimmt. Jeder wurschtelt vor sich hin, statt eine konzentrierte Gegenmacht zur Cyberkriminalität aufzubauen. Vielleicht ist jetzt ein guter Zeitpunkt dafür. Denn angesichts der wachsenden volkswirtschaftlichen Bedeutung der Digitalisierung kommt dem Schutz der Systeme bald eine existenzielle Bedeutung zu.
Leser*innenkommentare
tomás zerolo
@BRUDER NICOLAS
Sie wissen aber, dass die ASF eher als Industriekonsortium agiert. Von diesem Geld kommt bei den (m.W. drei(!)) log4j-Entwickler*innen nicht viel an, wenn überhaupt.
Wie die ASF drauf ist, das sehen Sie an der traurigen LibreOffice/OpenOffice-Geschichte.
Nein, diese 125K sind nicht "Unterstützung gemeinsamer Infrastruktur", sondern eher "PR-Geld". Und dafür ist's eher wenig. Die zahlen wesentlich mehr für irgendwelche abgehalfterten Politiker, die ihre Connections zur Verfügung stellen.
tomás zerolo
@KABOOM
Schlecht. Ganz schlecht :-)
Log4j ist, wie Sie das so schön buchstabieren "Open Source": es wird von der Apache Software Foundation betreut und steht unter der Apache License 2.0 [2].
Und nu?
Das Problem hier (wie damals bei OpenSSLs Heartbleed, Sie erinnern sich?) ist, dass die Industrie freie Software als kostenlose Ressource betrachtet. Und vergisst, dass sie, der Nachhaltigkeit zuliebe den freien Entwickler*innen auch etwas Unterstützung zukommen lassen sollten.
Nicht viel anders, als wenn Glencore in Afrika auf ein Cobalt-Vorkommen stösst: strip mining, profit, go.
Kapitalismus halt.
[1] Ich buchstabiere lieber "Free Software". Kompliziert, ich weiss.
[2] en.wikipedia.org/wiki/Log4j
47823 (Profil gelöscht)
Gast
@tomás zerolo Was haben Amazon Web Services, Verizon Media, Comcast, LeaseWeb, Pineapple Fund, Tencent Cloud, Microsoft, Facebook, Cloudera, Google gemeinsam? Sie unterstützen die Apache Foundation mit MINDESTENS 125.000,- Euro pro Jahr (Platin Status Förderer).
Kaboom
@tomás zerolo FYI: Die Apache-License wird zwar gerne als open source bezeichnet, ist es aber nicht. Der entscheidende Punkt bei Open source ist die Veröffentlichung der Änderungen, wie z.B. bei GPL. Wenn die "Öffentlichkeit" nämlich die Änderungen nicht kennt, ist das gesamte Prinzip für die Katz, weil nichts reproduzierbar (und somit kontrollierbar) ist. Apache 2.0 ist einfach die Legalisierung von jeder "privaten" Änderung der Software. Und darum gehts bei open source eben gerade NICHT
Rudolf Fissner
@Kaboom Sie reden von Software, die Open Source nutzt, selber aber keine ist. Deshalb ist der genutzte Open Source Code aber selber noch Open Source. Es gibt nicht den einen allein selig machende Open Source Lizenz.
Viele Software wäre gar nicht möglich ohne Open Source Lizenzen wie die Apache Lizenz.
Kaboom
Die beste Möglichkeit, sich vor solchen Sicherheitslücken zu schützen, ist die Verwendung von Open-Source-Produkten.
Den Vorschlag einer zentralen Institution, die Sourcecode "kontrolliert", halte ich für vollkommen absurd, es bräuchte zehntausende Entwickler, um diese Aufgabe zu erfüllen.
hedele
Im Koalitionsvertrag steht über eintausendmal das Wort "Digitalisierung" - nur verstanden hat es die Politik nicht: Es ist Aufgabe des Staates, nicht private Anbieter wie Microsoft zu promoten ("Zoom"), sondern Open-Source-Lösungen aufzugreifen, zu kontrollieren und weiterzuentwickeln, dabei offene Standards und XML-Formulare für Bürger bereitzustellen, an die sie mit ihrer eigenen Software andocken können. Im Moment herrscht hier frühe Neuzeit: Wie ehedem auf die Postleistungen des Hauses Thurn und Taxis verlassen wir uns heute bei der Datenübermittlung auf privates Gefrickel und nehmen dafür unglaubliche Monopole hin.
BazaarOvBirds
Wieso soll eine zentralisierte Stelle die Lösung sein? Dass Daten bei zentralisierten Organisationen (Staat und kapitalistischen Unternehmen) so zentral liegen ist doch überhaupt erst das Problem oder verstehe ich da was falsch?
Required
Was für eine Aneinanderreihung von Buzzwörtern. Der Autor scheint nur leienhaften Zugang zur Materie zu haben.
Dabei scheint hier ein ganz eigenes Verständnis einer "Cyberabwehr" vorzuliegen.
Log4j ist eine Bibliothek, ein Tool für Java und so gut wie Industriestandard in dieser Sprache. Tausende Firmen nutzen dieses Projekt in kommerziellen Produkten und Diensten.
Obwohl die Angriffsvektoren erstaunlich sein können, ist es bei weitem nicht die erste Lücke, über die Server übernommen werden können. Ich erinnere nur an den Heartbleed Bug vor ein paar Jahren. Dass die Übernahme einzelner Server in Zeiten, in denen Ransomwares ganze Firmen und Krankenhäuser lahmlegen, eine neue Messlatte darstellen soll, ist doch extrem fragwürdig. Die Übernahme eines einzelnen Systems, meist eine virtuelle Maschine von sehr vielen, bedeutet noch nicht automatisch ein Einbruch in eine gesamte Infrastruktur, wenn auch der Fuß schon in der Tür ist.
Die Liste der betroffenen Unternehmen ist das Who is Who der IT-Welt. Und doch ist es auch unter dem Dach der Apache Foundation ein Hobbyprojekt weniger Entwickler, die für ihre Arbeit so gut wie keine Kompensation erhalten.
Eine Behörde wäre niemals in der Lage nur annähernd das abzudecken, was eine ganze Industrie im Bereich der IT-Security leistet.
Dafür fehlt dem Staat nicht nur das nötige Kleingeld, sondern auch die nötige Perspektive für qualifiziertes Personal.
Tanz in den Mai
@Required Es ist unter dem Aspekt der Zentralisierung hier wohl eher keine Behörde angedacht im eigentlichen Sinn, mal abgesehen davon, dass es ja längst eine gibt. Klingt'n bisschen wie Rinderwahn und ich glaube daneben noch zwei, drei andere, allein zivile, was man alles nicht wissen müsste. Ersehnt ist jetzt zur Abwechslung vielleicht eher was im akademischen Kontext, so eine Art deutsches CERT/CC oder SEI-Pendant. Es ist nur so auch das gibt's längst, u.a. an der Uni Saarbrücken, dort ja auch das CISPA. Es gibt selbstredend auch ein einschlägiges Max-Planck-Institut. Zwei? Ob auch von sowas jetzt mehr Menschen wüssten, wenn man das alles einfach plump zusammenlegte, kann man bezweifeln, ja. Abgesehen von der Wirtschaft sind Unis sicher der richtige Platz dafür, auch weil du andere Freiheiten hast und Spielräume. Nur dann braucht es natürlich die entspr. Talente, v.a. auch angeworben. Und die können allein in Europa eben auch in die Schweiz, in die Niederlande, nach England oder nach Schweden, alles toll, vor allem die Unis. Aber jetzt ist mal wieder was passiert und jetzt muss man auch was dazu schreiben. Die Software ersinnen, entwickeln und vermarkten wie gesagt andere, oder besser, oder länger, so bleibt hier wenigstens wohlfeiles Mäkeln. Es wär sicherlich alles überzeugender, hätte man den Bug selbst gefunden. Statt sich jetzt darüber zu beschweren, dass andere das auch nicht schnell genug machen.
Carsten Nielsen
Ehrlich? Eine zentrale Instanz soll Software prüfen? Absoluter Blödsinn. Die Masse an Tests, die aktuell durch eine globale Entwicklercommunity geliefert wird, kann keine noch so gut ausgestattete Institution leisten.
Das sicherste ist eben die Diversität der IT-Landschaft - nicht die Zentralisierung mit evtueller Festschreibung einer Lösung. Genau das ist gerade die Ursache für den unglaublich großen Einschlag dieser Lücke. (zu) Viele haben diese Bibliothek genutzt ohne zu testen oder zu hinterfragen ( die Unübersichtlichkeit von Java tut sein übriges).