„Nicht das Rad neu erfinden“ ist einer der Grundpfeiler bei der Entwicklung neuer Software: Statt grundlegende Funktionen immer neu zu schreiben, wird auf erprobte Lösungen zurückgegriffen, die im Idealfall effizienter und weniger fehleranfällig als Eigenkreationen sind. Für viele Teams bedeutet das eine unglaubliche Erleichterung: Entwicklerinnen und Entwickler sparen sich den Aufwand für das Gerüst und können damit früher das eigentliche Problem angehen.
Einer dieser Bausteine, die sich unglaublicher Popularität erfreuen, ist „Log4j“ – grob gesagt ein Werkzeug, um Fehler und Abläufe zu protokollieren. Das wird in praktisch jeder Software benötigt. „Log4j“ hat den Vorteil, dass es frei verfügbar ist – selbst Konzerne wie Microsoft, Amazon, IBM und Apple verwenden „Log4j“ kostenlos –, und es kommt bei unzähligen Programmen und Geräten, die auf die Java-Plattform setzen, zum Einsatz.
Problematisch wird dieses Zurückgreifen auf einzelne, kleine Komponenten, wenn sich einer dieser Bausteine als anfällig erweist. Im besten Fall führt das zu Fehlfunktionen und Abstürzen, im schlechtesten zu verheerenden Sicherheitslücken. Die „Log4Shell“ benannte Schwachstelle kann dazu führen, dass Angreifer Schadcode einschleusen oder Kontrolle über Rechner erlangen, auf denen „Log4j“ zum Einsatz kommt – ein Alptraum für die gesamte Branche.
„Jahrelange“ Auswirkungen befürchtet
Der Sicherheitsdienstleister Tenable spricht von der „größten, kritischsten Schwachstelle des vergangenen Jahrzehnts“, die Plattform LunaSec von einem „Designfehler katastrophalen Ausmaßes“. Einordnungen von nationalen Sicherheitsbehörden als „kritisch“ klingen dazu vergleichsweise harmlos, wenngleich es oft der höchsten Warnstufe entspricht. Das Magazin „Wired“ schreibt unterdessen, dass die Sicherheitslücke das Internet „jahrelang verfolgen“ werde.
Schnelle Suche nach einem Sündenbock
Während sich das tatsächliche Ausmaß der Schwachstelle wohl erst in den kommenden Wochen und Monaten zeigen wird, ist die Debatte über Schuldzuweisungen längst im Gange. Schon kurz nach Bekanntwerden der Sicherheitslücke wurde darauf hingewiesen, dass sich offenbar unbezahlte Entwickler um „Log4j“ kümmern, oft begleitet von einem „xkcd“-Comic von Randall Munroe, das zeigt, dass praktisch die gesamte digitale Infrastruktur an einer Stelle auf Projekten von Privatpersonen aufbaut.
Doch diese freien Entwicklerinnen und Entwickler, die oft ihre gesamte Freizeit für Projekte opfern, die dann gemeinsam mit der Netzgemeinde erweitert werden – Stichwort: Open Source –, taugen nur bedingt als Sündenbock, heißt es von Fachleuten. Denn einerseits könnten IT-Riesen, die auf derartige kostenlose Software setzen, Projekte finanziell unterstützen und damit dafür sorgen, dass nicht nur eine kleine Handvoll Entwicklerinnen und Entwickler daran in ihrer Freizeit arbeiten.
Auch hohes Budget kein Garant für sichere Software
Andererseits schützt auch Geld nicht vor Schwachstellen. „Open-Source-Entwicklern volle Gehälter zu zahlen hätte einen vernachlässigbaren Effekt darauf, Sicherheitslücken wie bei ‚Log4j‘ zu verhindern“, schreibt etwa der Entwickler Andrew Clay Shafer vom Linux-Experten Red Hat auf Twitter.
Im gleichen Atemzug verweist er auf Banken, die Unsummen für Sicherheit ausgeben würden – und dennoch „Log4j“ einsetzen, und darüber hinaus dann auch mit eigenen Schwachstellen kämpfen müssten. Kurzum: Man werde nicht „auf magische Art und Weise“ Schwachstellen in Software beheben, indem man „Geld in ihre Richtung wirft“, heißt es in einem Kommentar des Technologieportals TechRepublic.
Sicherheitsbehörden fordern mehr Transparenz
Wenig von Schuldzuweisungen hält offenbar auch die US-Cybersicherheitsbehörde CISA – die eher ein grundlegendes Problem sieht. Software müsse „von Anfang an sicher“ entwickelt werden, heißt es in einem Statement zur „Log4j“-Problematik. Und die CISA spricht einen weiteren wesentlichen Punkt an: Sie rät zu einer Software Bill of Materials (SBOM), also praktisch einer Aufstellung der Komponenten, die in einem Programm zur Anwendung kommen. Dieser Empfehlung schloss sich auch der Cybersicherheitschef der NSA, Rob Joyce, an – und auch US-Präsident Joe Biden unterschrieb heuer bereits ein entsprechendes Dekret.
Denn die vielleicht beunruhigendste Facette der nun öffentlich gewordenen Sicherheitslücke ist, dass Anwenderinnen und Anwender häufig gar nicht wissen, welche Komponenten in Software zum Einsatz kommen. Oft wird die Aufmerksamkeit erst auf eine Sicherheitslücke gelenkt, wenn diese bereits aktiv ausgenützt wird – wie etwa jetzt in „Minecraft“.
Doch es ist fix davon auszugehen, dass die Schwachstelle in vielen anderen Programmen und auch Geräten schlummert, laut CISA könnten Hunderte Millionen Geräte betroffen sein – oft werden diese nicht mehr von den Herstellern gewartet. Das Zeitfenster ist nämlich enorm: Bereits seit 2013 ist der entsprechende Programmcode Teil von „Log4j“. Der effektivste Schutz ist wohl, betroffene Apps und Geräte ganz vom Internet zu trennen, was aber eben voraussetzt, dass man überhaupt weiß, ob man betroffen ist. Auch im professionellen Einsatz ist die Nachvollziehbarkeit wohl allerspätestens jetzt zum Thema geworden.
Updates als große Hoffnung
In den nächsten Tagen heißt es für all jene Entwicklerinnen und Entwickler, die es bisher noch nicht getan haben, ihre Projekte auf den aktuellsten Stand zu bringen. Bis dahin bleibt Anwendern, egal ob professionell oder privat, nichts anderes übrig, als auf möglichst baldige Updates zu hoffen – und gegebenenfalls veraltete Software und Geräte zu ersetzen, sollte sich keine andere Lösung finden lassen.
„Log4Shell“ könnte damit also tatsächlich noch in Jahren eine Rolle spielen. Gleichzeitig besteht Software heutzutage aus Dutzenden, in manchen Fällen sogar Hunderten Einzelkomponenten – eine Garantie, dass diese nicht anfällig sind, gibt es freilich nicht. Eine einzelne Sicherheitslücke könnte damit schnell ihren Weg auf zahllose Geräte finden. Eine einfache Lösung liegt nicht auf der Hand – vor allem für Anwenderinnen und Anwender, die am Entwicklungsprozess nicht teilhaben, bleibt einzig und allein die Hoffnung, dass die Geräte und Apps, die sie einsetzen, möglichst lange mit Aktualisierungen versorgt werden.