Fehlerhafter Java-Code: Das Monster im Maschinenraum
Eine Schwachstelle im System zeigt, wie wenig Beachtung die digitale Sicherheitsarchitektur bekommt. Schafft die Ampel die Kehrtwende?
In der Regel schaffen es harte IT-Themen nicht in die Schlagzeilen. Selbst Nachrichten zu massivem Datenklau und Hackerattacken oder Angriffe auf die kritische Infrastruktur werden nicht ernst genommen oder gehen unter im Wust der News.
In der Regel – denn in der vergangenen Woche war alles anders. Vermutlich auch, weil sämtliche IT-Expert:innen der Republik auf allen Kanälen aufschrien. Von einem Feuer im Internet war die Rede, von der Warnstufe Rot, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete.
Was war passiert? Ein fehlerhafter Code aus der Protokollierungsbibliothek Log4j („Logging for Java“) der Programmiersprache Java war entdeckt worden. Eine Java-Bibliothek ist ein Softwaremodul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist also tief in deren Architektur verankert.
Die Sicherheitslücke – genannt Log4shell – betrifft Millionen Apps, Onlineanwendungen unterschiedlichster Art, von den verschiedensten Unternehmen. Ein Fest für Hacker:innen, um Zugang zu Systemen in aller Welt zu bekommen. Betroffen sind auch Bundesbehörden. Ein erfolgreiches Ausnutzen der Sicherheitslücke ermögliche „eine vollständige Übernahme des betroffenen Systems“, hieß es seitens des BSI. Der Ernstfall ist somit jetzt. Log4j ist Open Source, also eine kostenfreie Anwendung, die ohne Lizenzgebühren genutzt werden kann.
In den Weltraum
Vor 24 Jahren hat Ceki Gülcü den Code mit zwei Kolleg:innen entwickelt, wie die Neue Zürcher Zeitung berichtet. Nur Expert:innen kannten die Komponente, obwohl sie weltweit genutzt wird. Sie steckt im Speicherdienst iCloud von Apple, wird von den Macher:innen von Minecraft verwendet, von Amazon, Twitter, Tesla. Log4j kommt auch zum Einsatz, wenn es darum geht, W-LAN-Zugänge zu verwalten, oder Sonden in den Weltraum zu schießen. Drei Milliarden Geräte, die Java und Log4j nutzen, könnten betroffen sein, von der Erde bis ins All. Log4j ist überall – und kaum einer wusste es.
An Open-Source-Anwendungen arbeiten in der Regel weltweit, die unterschiedlichsten Expert:innen gratis, im Sinne des Gemeinwohls, der Teilhabe. Es ist ein Geschenk an die Nutzer:innen. Die Verwirklichung des Urgedanken des Internets: Das Netz wird von allen gemacht und ist für alle da.
Etliche Unternehmen, darunter Tech-Giganten verwenden die kostenlosen Anwendungen und verdienen Milliarden. Ist das nicht ungerecht und unfair? Klingt so. Ein monetärer Ausgleich ist aber nicht im Sinne der Erfinder:innen. Schließlich fordert man für ein Geschenk auch kein Geld zurück. Mit der Sicherheitslücke ist dennoch die Debatte über eine Bezahlung, über Verantwortlichkeiten und über Spenden für solche Gratisanwendungen entflammt. Die Erkenntnis, dass ein wichtiger Baustein der Sicherheitsarchitektur von wenigen getragen wird, macht nervös.
Im Digitalkapitel des Koalitionsvertrags der Ampel kommt der Begriff „Open Source“ erstaunlich häufig vor. Sie soll künftig stärker gefördert werden. Allein der Ansatz bedeutet mehr Anerkennung für die Ehrenamtlichen, die nach Feierabend Anwendungen programmieren, die alle nutzen können. Teilhabe im Netz ist die Basis für eine Digi-Offensive, die nicht nur darin besteht, dass man seinen Termin beim Bürgeramt online buchen kann. Auch deshalb hat sich die Ampel dazu entschieden, Digitalisierung als Querschnittsaufgabe über alle Ressorts hinweg zu betrachten und dafür kein reines Digitalministerium gegründet.
Fragile Stellen
Die IT-Sicherheitsarchitektur ist fragil, bröckelt ab und an. In der IT-Blase kursiert das Bild einer Konstruktion, die auf der unteren Etage auf einem dünnen Beinchen steht. Bricht das weg oder wird angesägt, droht das ganze Türmchen zusammenzubrechen.
Meint die Ampel es ernst mit dieser Offensive, muss sie sich genau um diese fragilen Stellen kümmern, die oft nur wenige Expert:innen weltweit im Blick haben. Dabei braucht es längst nicht nur Geld, um Behörden, Verwaltung, Unternehmen aufzurüsten, wenn es um IT-Sicherheit geht – und um Verbraucherschutz.
Man klatscht sich fassungslos an die Stirn, wenn beim Passwörter-Ranking des Hasso-Plattner-Instituts die Eingabe „123456“ allen Ernstes auf dem ersten Platz landet. „hallo“ und „berlin“ sind wahrlich auch nicht sicherer, um Hacker:innen das Leben wenigstens geringfügig schwerer zu machen.
Das Bundesamt für Sicherheit in der Informationstechnik rechnet mit Schäden in Milliardenhöhe. Hektisch werden Updates programmiert, die Anwender:innen aufgefordert, aufmerksam zu sein, Back-ups zu machen. Hacks und Angriffe werden vermutlich erst viele Wochen, wenn nicht gar Monate später entdeckt werden. Hacker:innen werden die Lücke nutzen, um sich in die Systeme einzuschleichen, werden Updates umgehen und vermutlich dann erst zuschlagen. Eine echte Chance für Ransomware, um Nutzer:innen zu erpressen.
Dieses Monster rast durch die Wirren des Webs und wird sich nicht aufhalten lassen. Log4shell ist eine Warnung an Entscheider:innen. Wieder mal. Dieses Mal mit dem digitalen Vorschlaghammer.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Internationaler Strafgerichtshof
Ein Haftbefehl und seine Folgen
Krieg in der Ukraine
Geschenk mit Eskalation
Umgang mit der AfD
Sollen wir AfD-Stimmen im Blatt wiedergeben?
Krieg in der Ukraine
Kein Frieden mit Putin
Warnung vor „bestimmten Quartieren“
Eine alarmistische Debatte in Berlin
Haftbefehl gegen Netanjahu
Begründeter Verdacht für Kriegsverbrechen