Fehlerhafter Java-Code: Das Monster im Maschinenraum

Eine Schwachstelle im System zeigt, wie wenig Beachtung die digitale Sicherheitsarchitektur bekommt. Schafft die Ampel die Kehrtwende?

Eine Frau hockt in einem Serverraum zwischen Kabeln und Rechnern

Wird hier gerade ein Fehler entdeckt? Foto: Erik Isakson/Digial Vision/getty

In der Regel schaffen es harte IT-Themen nicht in die Schlagzeilen. Selbst Nachrichten zu massivem Datenklau und Hackerattacken oder Angriffe auf die kritische Infrastruktur werden nicht ernst genommen oder gehen unter im Wust der News.

In der Regel – denn in der vergangenen Woche war alles anders. Vermutlich auch, weil sämtliche IT-Expert:innen der Republik auf allen Kanälen aufschrien. Von einem Feuer im Internet war die Rede, von der Warnstufe Rot, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete.

Was war passiert? Ein fehlerhafter Code aus der Protokollierungsbibliothek Log4j („Logging for Java“) der Programmiersprache Java war entdeckt worden. Eine Java-Bibliothek ist ein Softwaremodul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist also tief in deren Architektur verankert.

Die Sicherheitslücke – genannt Log4shell – betrifft Millionen Apps, Onlineanwendungen unterschiedlichster Art, von den verschiedensten Unternehmen. Ein Fest für Hacker:innen, um Zugang zu Systemen in aller Welt zu bekommen. Betroffen sind auch Bundesbehörden. Ein erfolgreiches Ausnutzen der Sicherheitslücke ermögliche „eine vollständige Übernahme des betroffenen Systems“, hieß es seitens des BSI. Der Ernstfall ist somit jetzt. Log4j ist Open Source, also eine kostenfreie Anwendung, die ohne Lizenzgebühren genutzt werden kann.

In den Weltraum

Vor 24 Jahren hat Ceki Gülcü den Code mit zwei Kol­le­g:in­nen entwickelt, wie die Neue Zürcher Zeitung berichtet. Nur Ex­per­t:in­nen kannten die Komponente, obwohl sie weltweit genutzt wird. Sie steckt im Speicherdienst iCloud von Apple, wird von den Ma­che­r:in­nen von Mine­craft verwendet, von Amazon, Twitter, Tesla. Log4j kommt auch zum Einsatz, wenn es darum geht, W-LAN-Zugänge zu verwalten, oder Sonden in den Weltraum zu schießen. Drei Milliarden Geräte, die Java und Log4j nutzen, könnten betroffen sein, von der Erde bis ins All. Log4j ist überall – und kaum einer wusste es.

An Open-Source-Anwendungen arbeiten in der Regel weltweit, die unterschiedlichsten Ex­per­t:in­nen gratis, im Sinne des Gemeinwohls, der Teilhabe. Es ist ein Geschenk an die Nutzer:innen. Die Verwirklichung des Urgedanken des Internets: Das Netz wird von allen gemacht und ist für alle da.

Etliche Unternehmen, darunter Tech-Giganten verwenden die kostenlosen Anwendungen und verdienen Milliarden. Ist das nicht ungerecht und unfair? Klingt so. Ein monetärer Ausgleich ist aber nicht im Sinne der Erfinder:innen. Schließlich fordert man für ein Geschenk auch kein Geld zurück. Mit der Sicherheitslücke ist dennoch die Debatte über eine Bezahlung, über Verantwortlichkeiten und über Spenden für solche Gratisanwendungen entflammt. Die Erkenntnis, dass ein wichtiger Baustein der Sicherheitsarchitektur von wenigen getragen wird, macht nervös.

Im Digitalkapitel des Koalitionsvertrags der Ampel kommt der Begriff „Open Source“ erstaunlich häufig vor. Sie soll künftig stärker gefördert werden. Allein der Ansatz bedeutet mehr Anerkennung für die Ehrenamtlichen, die nach Feierabend Anwendungen programmieren, die alle nutzen können. Teilhabe im Netz ist die Basis für eine Digi-Offensive, die nicht nur darin besteht, dass man seinen Termin beim Bürgeramt online buchen kann. Auch deshalb hat sich die Ampel dazu entschieden, Digitalisierung als Querschnittsaufgabe über alle Ressorts hinweg zu betrachten und dafür kein reines Digitalministerium gegründet.

Fragile Stellen

Die IT-Sicherheitsarchitektur ist fragil, bröckelt ab und an. In der IT-Blase kursiert das Bild einer Konstruktion, die auf der unteren Etage auf einem dünnen Beinchen steht. Bricht das weg oder wird angesägt, droht das ganze Türmchen zusammenzubrechen.

Meint die Ampel es ernst mit dieser Offensive, muss sie sich genau um diese fragilen Stellen kümmern, die oft nur wenige Ex­per­t:in­nen weltweit im Blick haben. Dabei braucht es längst nicht nur Geld, um Behörden, Verwaltung, Unternehmen aufzurüsten, wenn es um IT-Sicherheit geht – und um Verbraucherschutz.

Man klatscht sich fassungslos an die Stirn, wenn beim Passwörter-Ranking des Hasso-Plattner-Instituts die Eingabe „123456“ allen Ernstes auf dem ersten Platz landet. „hallo“ und „berlin“ sind wahrlich auch nicht sicherer, um Ha­cke­r:in­nen das Leben wenigstens geringfügig schwerer zu machen.

Das Bundesamt für Sicherheit in der Informationstechnik rechnet mit Schäden in Milliardenhöhe. Hektisch werden Updates programmiert, die An­wen­de­r:in­nen aufgefordert, aufmerksam zu sein, Back-ups zu machen. Hacks und Angriffe werden vermutlich erst viele Wochen, wenn nicht gar Monate später entdeckt werden. Ha­cke­r:in­nen werden die Lücke nutzen, um sich in die Systeme einzuschleichen, werden Updates umgehen und vermutlich dann erst zuschlagen. Eine echte Chance für Ransomware, um Nut­ze­r:in­nen zu erpressen.

Dieses Monster rast durch die Wirren des Webs und wird sich nicht aufhalten lassen. Log4shell ist eine Warnung an Entscheider:innen. Wieder mal. Dieses Mal mit dem digitalen Vorschlaghammer.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.