piwik no script img

Fehlerhafter Java-CodeDas Monster im Maschinenraum

Eine Schwachstelle im System zeigt, wie wenig Beachtung die digitale Sicherheitsarchitektur bekommt. Schafft die Ampel die Kehrtwende?

Wird hier gerade ein Fehler entdeckt? Foto: Erik Isakson/Digial Vision/getty

In der Regel schaffen es harte IT-Themen nicht in die Schlagzeilen. Selbst Nachrichten zu massivem Datenklau und Hackerattacken oder Angriffe auf die kritische Infrastruktur werden nicht ernst genommen oder gehen unter im Wust der News.

In der Regel – denn in der vergangenen Woche war alles anders. Vermutlich auch, weil sämtliche IT-Expert:innen der Republik auf allen Kanälen aufschrien. Von einem Feuer im Internet war die Rede, von der Warnstufe Rot, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete.

Was war passiert? Ein fehlerhafter Code aus der Protokollierungsbibliothek Log4j („Logging for Java“) der Programmiersprache Java war entdeckt worden. Eine Java-Bibliothek ist ein Softwaremodul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist also tief in deren Architektur verankert.

Die Sicherheitslücke – genannt Log4shell – betrifft Millionen Apps, Onlineanwendungen unterschiedlichster Art, von den verschiedensten Unternehmen. Ein Fest für Hacker:innen, um Zugang zu Systemen in aller Welt zu bekommen. Betroffen sind auch Bundesbehörden. Ein erfolgreiches Ausnutzen der Sicherheitslücke ermögliche „eine vollständige Übernahme des betroffenen Systems“, hieß es seitens des BSI. Der Ernstfall ist somit jetzt. Log4j ist Open Source, also eine kostenfreie Anwendung, die ohne Lizenzgebühren genutzt werden kann.

In den Weltraum

Vor 24 Jahren hat Ceki Gülcü den Code mit zwei Kol­le­g:in­nen entwickelt, wie die Neue Zürcher Zeitung berichtet. Nur Ex­per­t:in­nen kannten die Komponente, obwohl sie weltweit genutzt wird. Sie steckt im Speicherdienst iCloud von Apple, wird von den Ma­che­r:in­nen von Mine­craft verwendet, von Amazon, Twitter, Tesla. Log4j kommt auch zum Einsatz, wenn es darum geht, W-LAN-Zugänge zu verwalten, oder Sonden in den Weltraum zu schießen. Drei Milliarden Geräte, die Java und Log4j nutzen, könnten betroffen sein, von der Erde bis ins All. Log4j ist überall – und kaum einer wusste es.

An Open-Source-Anwendungen arbeiten in der Regel weltweit, die unterschiedlichsten Ex­per­t:in­nen gratis, im Sinne des Gemeinwohls, der Teilhabe. Es ist ein Geschenk an die Nutzer:innen. Die Verwirklichung des Urgedanken des Internets: Das Netz wird von allen gemacht und ist für alle da.

Etliche Unternehmen, darunter Tech-Giganten verwenden die kostenlosen Anwendungen und verdienen Milliarden. Ist das nicht ungerecht und unfair? Klingt so. Ein monetärer Ausgleich ist aber nicht im Sinne der Erfinder:innen. Schließlich fordert man für ein Geschenk auch kein Geld zurück. Mit der Sicherheitslücke ist dennoch die Debatte über eine Bezahlung, über Verantwortlichkeiten und über Spenden für solche Gratisanwendungen entflammt. Die Erkenntnis, dass ein wichtiger Baustein der Sicherheitsarchitektur von wenigen getragen wird, macht nervös.

Im Digitalkapitel des Koalitionsvertrags der Ampel kommt der Begriff „Open Source“ erstaunlich häufig vor. Sie soll künftig stärker gefördert werden. Allein der Ansatz bedeutet mehr Anerkennung für die Ehrenamtlichen, die nach Feierabend Anwendungen programmieren, die alle nutzen können. Teilhabe im Netz ist die Basis für eine Digi-Offensive, die nicht nur darin besteht, dass man seinen Termin beim Bürgeramt online buchen kann. Auch deshalb hat sich die Ampel dazu entschieden, Digitalisierung als Querschnittsaufgabe über alle Ressorts hinweg zu betrachten und dafür kein reines Digitalministerium gegründet.

Fragile Stellen

Die IT-Sicherheitsarchitektur ist fragil, bröckelt ab und an. In der IT-Blase kursiert das Bild einer Konstruktion, die auf der unteren Etage auf einem dünnen Beinchen steht. Bricht das weg oder wird angesägt, droht das ganze Türmchen zusammenzubrechen.

Meint die Ampel es ernst mit dieser Offensive, muss sie sich genau um diese fragilen Stellen kümmern, die oft nur wenige Ex­per­t:in­nen weltweit im Blick haben. Dabei braucht es längst nicht nur Geld, um Behörden, Verwaltung, Unternehmen aufzurüsten, wenn es um IT-Sicherheit geht – und um Verbraucherschutz.

Man klatscht sich fassungslos an die Stirn, wenn beim Passwörter-Ranking des Hasso-Plattner-Instituts die Eingabe „123456“ allen Ernstes auf dem ersten Platz landet. „hallo“ und „berlin“ sind wahrlich auch nicht sicherer, um Ha­cke­r:in­nen das Leben wenigstens geringfügig schwerer zu machen.

Das Bundesamt für Sicherheit in der Informationstechnik rechnet mit Schäden in Milliardenhöhe. Hektisch werden Updates programmiert, die An­wen­de­r:in­nen aufgefordert, aufmerksam zu sein, Back-ups zu machen. Hacks und Angriffe werden vermutlich erst viele Wochen, wenn nicht gar Monate später entdeckt werden. Ha­cke­r:in­nen werden die Lücke nutzen, um sich in die Systeme einzuschleichen, werden Updates umgehen und vermutlich dann erst zuschlagen. Eine echte Chance für Ransomware, um Nut­ze­r:in­nen zu erpressen.

Dieses Monster rast durch die Wirren des Webs und wird sich nicht aufhalten lassen. Log4shell ist eine Warnung an Entscheider:innen. Wieder mal. Dieses Mal mit dem digitalen Vorschlaghammer.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

15 Kommentare

 / 
Kommentarpause ab 30. Dezember 2024

Wir machen Silvesterpause und schließen ab Montag die Kommentarfunktion für ein paar Tage.
  • Ich stimme der Autorin nicht zu. Hier ist nicht die Politik in der Pflicht, sondern all die großen Softwareunternehmen.

    Kein vernünftiger Mensch würde beim Hausbau in Deutschland darauf kommen, bei tragenden Teilen ungeprüfte Baustoffe zu nehmen.

    Den großen Softwareunternehmen aber ist es egal, sie vertrauen meist darauf, dass irgendjemand schon "drauf schaut", nutzen die Komponente und überprüfen sie nicht weiter selbst auf Schwachstellen.

    Damit sind die Softwareunternehmen in der Pflicht, die diese Komponente bei sich einbauen. Sie sind auch damit diejenigen, die den Autoren solcher Projekte besser mal einen gut bezahlten Arbeitsplatz verschaffen sollten, damit diese davon leben können!

    Ist ja nicht das erste Mal, dass eine solch wichtige Komponente weltweit allen auf die Füße fällt: ich erinnere da mal an OpenSSL mit Heartbleed, oder GnuPG von Werner Koch.

  • Was mir grade noch einfällt ist diese maximale Oberscheiße mit der "Docker" respektive "Snap" - Architektur.

    "Früher" war es so, dass zentrale Komponenten an EINER Stelle vom Betriebssystem bereitgestellt wurden.



    (z.B. einmal die Komponenten log4j) uns alle Apps haben genau diese genutzt.

    "Heute" ist es so, dass jede Docker- oder Snap-App den eigenen Kram anschleppt.



    Dann hat man auf dem Rechner zigmal angreifbare Komponten und sieht die noch nichtmal weil sie sich in diesen Docker- und Snap-Apps verstecken.

    Da sag ich dochmal herzlichst Danke !!1! an alle Devops-Entwicker !

  • "Die Erkenntnis, dass ein wichtiger Baustein der Sicherheitsarchitektur von wenigen getragen wird, macht nervös."

    Die Apache Software Foundation, unter deren Obhut log4net gehostet wird, wird von den "Großen" der Softwarewelt gesponsert: de.wikipedia.org/w...ation#Finanzierung

  • Tja, es war ja mal Open Source ... jetzt scheint es mir "Stolen Source" zu sein ...

  • "Schafft die Ampel die Kehrtwende?"

    Dieser Satz sagt nur, das Journalisten von der Sache und dem Problem noch weniger verstehen als Politiker.

    Ums solche Problem zu reduzieren oder zu vermeiden, müsste die Industrie tausende neue Stellen Schaffen und Millionen investieren... jährlich. Und selbst dann hätte man die Risiken nur reduziert.

    Außerdem ist das kein deutsches Problem. Diese SW wird weltweit geschrieben und weltweit verwendet.

    Deutsche Politik kann da eigentlich nichts tun. Natürlich könnte man vorschreiben das jede verwendete SW auditiert werden muss, aber das wäre so teuer, aufwändig und komplex, das man in Deutschland auf Jahrzehnte keine neue SW mehr einsetzen könnte. Angefangen bei Windows und MS-Office... ist also vollkommen illusorisch.

    • @danny schneider:

      Hmm ... angesichts der vielen Milliarden Quartalsgewinn der Konzerne wären ein paar Millionen sicher gut investiertes Geld ....

      Aber wie allen bekannt, ist Software von jeder Haftung ausgenommen.

  • 9G
    90118 (Profil gelöscht)

    Angesichts der Pressekonferenz des BSI-Chefs zu diesem Thema kommen große Zweifel auf.



    1. Es gibt seinerseits Warnungen vor unglaublichen Bedrohungen - ohne konkrete Lösungsvorschläge.



    2. Die Rückfragen der Presse sind nicht mikrofoniert und deshalb unverständlich.



    3. Wer eine solche Pressekonferenz abhält, erreicht was genau?



    Ratlosigkeit.

    • @90118 (Profil gelöscht):

      "ohne konkrete Lösungsvorschläge"

      In dem Fall hilft nur updaten (was auch nicht mal eben schnell gemacht ist) und im Fall der Fälle müsste man Dienste und Services einstellen und vom Internet trennen. Was halt doof ist wenn man damit sein Geld verdient...

      Das ist ja das teuflische: die Bibliothek ist so verbreitet und der Fehler ist ja eher ein Fehldesign bzw. eine Fehlverwendung statt einem richtigen Fehler, so das es eben kurz bis mittelfristig nur die Wahl zw. Pest und Cholera gibt.

      • @danny schneider:

        Updaten? - Schön und gut. Zu einem Lösungsansatz gehört auch, dass - besonders bei der weiten Verbreitung dieses Moduls - schon im Zuge der Warnung mitgibt, wo ich - sei es als Privatmann oder als SysOp in einer Firma - nachsehen kann, welche Programme betroffen sind bzw. wie ich herausfinden kann, wo log4j überhaupt drinsteckt.



        Das wäre 1000-fach hilfreicher als jetzt darüber zu diskutieren ob und wie Open Source (staatliche) Förderung braucht. Das ist wie den zweiten Schritt vor dem ersten zu machen.

  • Leude.. durch wiederholen wird es nicht wahr. Es ist kein fehlerhafter Code. Es ist nur extrem gefährlich solche Funktionalität zu implementieren und sehr gedankenlos, das in der Standardkonfiguration zu aktivieren.

    www.heise.de/meinu...ziert-6294476.html

  • Gibt es also "das System"? Das Internetsystem?

  • "Dabei braucht es längst nicht nur Geld, um Behörden, Verwaltung, Unternehmen aufzurüsten, wenn es um IT-Sicherheit geht – und um Verbraucherschutz."

    Aber was braucht es denn dann?

    Also mir ist das recht klar:



    * Programmieren, Softwarewartung, Paketmanagement, Softwaredeployment als Lerninhalte in der Schule. Am Besten im Pflichtfach Informatik.



    * FLOSS Als Bedingung für jedwede Software, die die öffentliche Hand nutzt. Bis in die impliziten Abhängigkeiten.



    * Ankaufs von Sicherheitslücken nur noch durch das BSI zum Zwecke der Behebung und Veröffentlichung. (Und an der Stelle wird es mächtig Gegenwind aus mindestens Washington geben, Stichwort Hackback.)



    * automatisch Berichterstattung über kritische Lücken durch den ÖR.

    Steht nur leider nicht im Artikel.



    Der fordert einfach nur, dass der Staat/Die Ampel was tut.

    • @metalhead86:

      "Programmieren, Softwarewartung, Paketmanagement, Softwaredeployment als Lerninhalte in der Schule. Am Besten im Pflichtfach Informatik."



      Im Zweifel dürfte das kontraproduktiv sein, weil dann jede Menge Leute glauben sie könnten programmieren und mit ihrem Halbwissen dann allerlei Gefährliches in die Welt setzen. Selbst ein Diplom/Master in Informatik ist leider allzu oft noch kein Garant dafür, dass Uni Absolvent*innen wissen wie sie guten und sicheren Code schreiben.

  • Alle Java-Coder kennen diese Komponente und wissen um deren Existenz und Bedeutung.



    Und dass sich in so einer zentralen Komponente Fehler (auch Sicherheitsfehler) verbergen können ist auch jedem Fachmenschen durchaus bewusst.

    Wobei man hier tatsächlich filosofieren kann, ob es wirklich ein Fehler ist.



    Denn im Grunde wird durch log4shell nur eine Möglichkeit genutzt, die bewusst eingebaut wurde - wenn auch für andere Zwecke.

    Das tatsächliche Problem ist, dass alle möglichen kommerziellen Anbieter "open source" Software nutzen um Geld zu sparen ohne der "open source community" etwas zurück zu geben.

    Und wenn ein Projekt budgetiert wird werden die Punkte wie "Code review" (=gemeinsames Studieren des Programmcodes) "Hardening" (=Stabilisierung gegen unerwartete Umstände) und "Security Enhancement" (=Verbesserung der Sicherheit) als erstes gestrichen - denn diese Punkte lassen sich nicht in "User experience" (=positives Nutzererlebnis) ummünzen.

    Und wenn man sich ansieht, wie Java-Coder aktuell ausgebildet werden kann man nur den Kopf schütteln.

    Angesichts des Fachkräftemangels und der Tatsache, das "good old germany" in Sachen Digitalisierung so weit von der Weltspitze abgehängt ist wie ein Regenwurm vom 5 m Brett werden angebliche Spezialisten aus dem Boden gestampft - von denen nur allzuviele bestenfalls ein "Klickdiplom" in Eclipse und IntelliJ verdient hätten.

    In den Neunziger'n war's mit den "Organisationsprogrammierern" ähnlich ... aber an diese Zeit und die Viren von damals ("I love you") erinnert sich ja kaum noch wer - geschweige denn, dass im Softwareentwicklungsprozess wirklich nachhaltig Lehren daraus gezogen worden wären.

  • 4G
    47823 (Profil gelöscht)

    Log4j ist ein Produkt der Apache Foundation. Diese hat einen Jahersumsatz von 220 Mio. USD. Die Firmen Amazon Web Services, Verizon Media, Comcast, LeaseWeb, Pineapple Fund, Tencent Cloud, Microsoft, Facebook, Cloudera, Google haben Platin-Status als Sponsoren, zahlen also mindestens 125.000,- USD pro Jahr an die Foundation.

    Das mag, gemessen am Wert der gesamten Softwareprojekte, nicht viel sein, 220 Mio. Umsatz im Jahr, die ja irgendwoher kommen müssen, sind aber auch kein "Geschenk"