Java-Bibliothek "Log4j"

Kleine Sicherheitslücke mit großen Folgen

17:21 Minuten
Ein Warnzeichen, ein Computer-Tower und das Logo "Log4J".
Eine Sicherheitslücke der Java-Bibliothek "Log4J" kann zu massiven Problemen führen. © imago images / Alexander Limbach
Katharina Meyer im Gespräch mit Vera Linß und Martin Böttcher · 18.12.2021
Audio herunterladen
Das Bundesamt für Informationssicherheit ist alarmiert. Eine Sicherheitslücke bei der häufig verwendeten Open-Source-Software "Log4j" öffnet Tür und Tor für Hacker. Muss frei verfügbare Software besser geprüft werden?
Wenn Entwicklerinnen und Entwickler Software für Server schreiben wollen, beginnen sie häufig nicht bei null, sondern setzen auf sogenannte Bibliotheken. Diese Bibliotheken sind fertige Programmbausteine, die jeder in seine Software integrieren kann. Doch jetzt wird es kompliziert: Meist basieren diese Bauteile eben auch auf weiteren, kleinteiligeren Bausteinen, die oft frei verfügbar sind.
Solche Open-Source-Software schreiben häufig Profis in ihrer Freizeit und stellen sie dann für jedermann ins Netz. Neben der eigentlichen Programmierarbeit müssen solche Projekte auch immer wieder überprüft und gewartet werden. Das kommt allerdings immer wieder zu kurz, weil es sehr aufwendig ist und die Programmierer das nicht auch noch leisten wollen oder können. Deshalb kann es passieren, dass die eben auch Fehler beinhalten, Sicherheitslücken, die zunächst nicht auffallen. So eine Sicherheitslücke gibt es auch beim Baustein "Log4j".

Zu viel, zu unübersichtlich

Geschrieben wurde Log4j in der Programmiersprache Java. Die ist ziemlich beliebt im Internet, erklärt Cyber-Security-Expertin Carolin Desirée Töpfer: "€œIm Endeffekt muss man sich vorstellen, dass Java die zweithäufigste Programmiersprache ist in unserem Internet. Ungefähr ein Drittel des Internets findet auf solchen Servern statt."
€Der Baustein Log4j ist also in einer unüberschaubar großen Zahl von Programmen verbaut. Diese zu scannen, dauert. Zumal das Problem über Software im Netz hinausgeht, meint Carolin Desirée Töpfer:

Die aktuelle Lücke bietet eben auch die Möglichkeit, nicht nur in diesem Umfeld zu bleiben, sondern eben auch darüber andere Systeme, sogar Systeme, die nicht unbedingt direkt mit dem Internet verbunden sind, zu erreichen.

Ein gefundenes Fressen für Cyberkriminelle.

Unausgesprochene Normen

Das Kernproblem liegt bei denen, die diese Software einfach einbauen, nicht bei den Ehrenamtlern, die jetzt, nachdem die Lücke bekannt ist, unter Hochdruck daran arbeiten, diese zu reparieren. “Die baden nur die Probleme aus, die an anderer Stelle ihren Ursprung haben”, meint Katharina Meyer vom Sovereign Tech Fund. Vielmehr gebe es schon längst unausgesprochene Normen, die jeder einhalten sollte, wenn er oder sie offene Komponenten nutzt, auch die großen Unternehmen. 
Dazu gehöre vor allem auch, dass die Software noch einmal geprüft wird, bevor zum Beispiel Unternehmen diese verbauen. Doch was zu Beginn gut funktioniert hat, ist heute in Vergessenheit geraten: “Gerade im kommerziellen Raum wurden diese Bausteine viel genutzt, teilweise ungeprüft eingebaut, ohne dass das zugegeben wurde.” Ein Grund dafür ist sicher, dass auch die Überprüfung Geld kostet, das die Unternehmen nicht ausgeben wollen oder können.

Community stärken

Abhilfe schaffen möchte der Sovereign Tech Fund. Die Forscherinnen und Forscher rund um Katharina Meyer haben eine Machbarkeitsstudie für Open-Source-Software durchgeführt. Sie kommen zu dem Ergebnis, dass Geld alleine das Problem nicht lösen kann. Vielmehr müssen auch die Unternehmen ihrer Sorgfaltspflicht nachkommen und Open-Source-Strategien entwickeln. Dazu gehört auch die regelmäßige Überprüfung und Wartung der Software. 
Dabei spiele auch die Vernetzung mit der Community hinter der Software eine wichtige Rolle. Dazu gehöre, den Programmierenden bei der Nachwuchsförderung zu helfen, damit ihr Wissen nicht verloren geht. ”Die haben sich mit 14 oder 15 selber Programmieren beigebracht. Das ist alles keine formale Bildung, die aus der Universität hervorgeht, sondern echtes eigenes Interesse.” Ein Nachhaltigkeitskonzept würde für Stabilität sorgen, die rund um Open-Source-Software besonders wichtig sei.
Doch die Verantwortung für die Open-Source-Software liege auch in staatlicher Hand: "Jetzt, wo Software einen großen Teil der Infrastruktur im digitalen Raum bedeutet, ist vielleicht auch der Staat gefragt, da zu unterstützen – als Teil der Daseinsvorsorge.”

Abonnieren Sie unseren Weekender-Newsletter!

Die wichtigsten Kulturdebatten und Empfehlungen der Woche, jeden Freitag direkt in ihr E-Mail-Postfach.

Vielen Dank für Ihre Anmeldung!

Wir haben Ihnen eine E-Mail mit einem Bestätigungslink zugeschickt.

Falls Sie keine Bestätigungs-Mail für Ihre Registrierung in Ihrem Posteingang sehen, prüfen Sie bitte Ihren Spam-Ordner.

Willkommen zurück!

Sie sind bereits zu diesem Newsletter angemeldet.

Bitte überprüfen Sie Ihre E-Mail Adresse.
Bitte akzeptieren Sie die Datenschutzerklärung.
Mehr zum Thema