Wenn Entwicklerinnen und Entwickler Software für Server schreiben wollen, beginnen sie häufig nicht bei null, sondern setzen auf sogenannte Bibliotheken. Diese Bibliotheken sind fertige Programmbausteine, die jeder in seine Software integrieren kann. Doch jetzt wird es kompliziert: Meist basieren diese Bauteile eben auch auf weiteren, kleinteiligeren Bausteinen, die oft frei verfügbar sind.

Solche Open-Source-Software schreiben häufig Profis in ihrer Freizeit und stellen sie dann für jedermann ins Netz. Neben der eigentlichen Programmierarbeit müssen solche Projekte auch immer wieder überprüft und gewartet werden. Das kommt allerdings immer wieder zu kurz, weil es sehr aufwendig ist und die Programmierer das nicht auch noch leisten wollen oder können. Deshalb kann es passieren, dass die eben auch Fehler beinhalten, Sicherheitslücken, die zunächst nicht auffallen. So eine Sicherheitslücke gibt es auch beim Baustein "Log4j".

Geschrieben wurde Log4j in der Programmiersprache Java. Die ist ziemlich beliebt im Internet, erklärt Cyber-Security-Expertin Carolin Desirée Töpfer: "€œIm Endeffekt muss man sich vorstellen, dass Java die zweithäufigste Programmiersprache ist in unserem Internet. Ungefähr ein Drittel des Internets findet auf solchen Servern statt."

€Der Baustein Log4j ist also in einer unüberschaubar großen Zahl von Programmen verbaut. Diese zu scannen, dauert. Zumal das Problem über Software im Netz hinausgeht, meint Carolin Desirée Töpfer:

Ein gefundenes Fressen für Cyberkriminelle.

Das Kernproblem liegt bei denen, die diese Software einfach einbauen, nicht bei den Ehrenamtlern, die jetzt, nachdem die Lücke bekannt ist, unter Hochdruck daran arbeiten, diese zu reparieren. “Die baden nur die Probleme aus, die an anderer Stelle ihren Ursprung haben”, meint Katharina Meyer vom Sovereign Tech Fund. Vielmehr gebe es schon längst unausgesprochene Normen, die jeder einhalten sollte, wenn er oder sie offene Komponenten nutzt, auch die großen Unternehmen. 

Dazu gehöre vor allem auch, dass die Software noch einmal geprüft wird, bevor zum Beispiel Unternehmen diese verbauen. Doch was zu Beginn gut funktioniert hat, ist heute in Vergessenheit geraten: “Gerade im kommerziellen Raum wurden diese Bausteine viel genutzt, teilweise ungeprüft eingebaut, ohne dass das zugegeben wurde.” Ein Grund dafür ist sicher, dass auch die Überprüfung Geld kostet, das die Unternehmen nicht ausgeben wollen oder können.

Abhilfe schaffen möchte der Sovereign Tech Fund. Die Forscherinnen und Forscher rund um Katharina Meyer haben eine Machbarkeitsstudie für Open-Source-Software durchgeführt. Sie kommen zu dem Ergebnis, dass Geld alleine das Problem nicht lösen kann. Vielmehr müssen auch die Unternehmen ihrer Sorgfaltspflicht nachkommen und Open-Source-Strategien entwickeln. Dazu gehört auch die regelmäßige Überprüfung und Wartung der Software. 

Dabei spiele auch die Vernetzung mit der Community hinter der Software eine wichtige Rolle. Dazu gehöre, den Programmierenden bei der Nachwuchsförderung zu helfen, damit ihr Wissen nicht verloren geht. ”Die haben sich mit 14 oder 15 selber Programmieren beigebracht. Das ist alles keine formale Bildung, die aus der Universität hervorgeht, sondern echtes eigenes Interesse.” Ein Nachhaltigkeitskonzept würde für Stabilität sorgen, die rund um Open-Source-Software besonders wichtig sei.

Doch die Verantwortung für die Open-Source-Software liege auch in staatlicher Hand: "Jetzt, wo Software einen großen Teil der Infrastruktur im digitalen Raum bedeutet, ist vielleicht auch der Staat gefragt, da zu unterstützen – als Teil der Daseinsvorsorge.”