# taz.de -- Fehlerhafter Java-Code: Das Monster im Maschinenraum | |
> Eine Schwachstelle im System zeigt, wie wenig Beachtung die digitale | |
> Sicherheitsarchitektur bekommt. Schafft die Ampel die Kehrtwende? | |
Bild: Wird hier gerade ein Fehler entdeckt? | |
In der Regel schaffen es harte IT-Themen nicht in die Schlagzeilen. Selbst | |
Nachrichten zu massivem Datenklau und Hackerattacken oder Angriffe auf die | |
kritische Infrastruktur werden nicht ernst genommen oder gehen unter im | |
Wust der News. | |
In der Regel – denn in der vergangenen Woche war alles anders. Vermutlich | |
auch, weil sämtliche IT-Expert:innen der Republik auf allen Kanälen | |
aufschrien. Von einem Feuer im Internet war die Rede, von der Warnstufe | |
Rot, [1][wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) | |
meldete.] | |
Was war passiert? Ein fehlerhafter Code aus der Protokollierungsbibliothek | |
Log4j („Logging for Java“) der Programmiersprache Java war entdeckt worden. | |
Eine Java-Bibliothek ist ein Softwaremodul, das zur Umsetzung einer | |
bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist also | |
tief in deren Architektur verankert. | |
Die Sicherheitslücke – genannt Log4shell – betrifft Millionen Apps, | |
Onlineanwendungen unterschiedlichster Art, von den verschiedensten | |
Unternehmen. Ein Fest für Hacker:innen, um Zugang zu Systemen in aller Welt | |
zu bekommen. Betroffen sind auch Bundesbehörden. Ein erfolgreiches | |
Ausnutzen der Sicherheitslücke ermögliche „eine vollständige Übernahme des | |
betroffenen Systems“, hieß es seitens des BSI. Der Ernstfall ist somit | |
jetzt. Log4j ist Open Source, also eine kostenfreie Anwendung, die ohne | |
Lizenzgebühren genutzt werden kann. | |
## In den Weltraum | |
Vor 24 Jahren hat Ceki Gülcü den Code mit zwei Kolleg:innen entwickelt, | |
[2][wie die Neue Zürcher Zeitung berichtet.] Nur Expert:innen kannten | |
die Komponente, obwohl sie weltweit genutzt wird. Sie steckt im | |
Speicherdienst iCloud von Apple, wird von den Macher:innen von | |
Minecraft verwendet, von Amazon, Twitter, Tesla. Log4j kommt auch zum | |
Einsatz, wenn es darum geht, W-LAN-Zugänge zu verwalten, oder Sonden in den | |
Weltraum zu schießen. Drei Milliarden Geräte, die Java und Log4j nutzen, | |
könnten betroffen sein, von der Erde bis ins All. Log4j ist überall – und | |
kaum einer wusste es. | |
An Open-Source-Anwendungen arbeiten in der Regel weltweit, die | |
unterschiedlichsten Expert:innen gratis, im Sinne des Gemeinwohls, der | |
Teilhabe. Es ist ein Geschenk an die Nutzer:innen. Die Verwirklichung des | |
Urgedanken des Internets: Das Netz wird von allen gemacht und ist für alle | |
da. | |
Etliche Unternehmen, darunter Tech-Giganten verwenden die kostenlosen | |
Anwendungen und verdienen Milliarden. Ist das nicht ungerecht und unfair? | |
Klingt so. Ein monetärer Ausgleich ist aber nicht im Sinne der | |
Erfinder:innen. Schließlich fordert man für ein Geschenk auch kein Geld | |
zurück. Mit der Sicherheitslücke ist dennoch die Debatte über eine | |
Bezahlung, über Verantwortlichkeiten und über Spenden für solche | |
Gratisanwendungen entflammt. Die Erkenntnis, dass ein wichtiger Baustein | |
der Sicherheitsarchitektur von wenigen getragen wird, macht nervös. | |
Im Digitalkapitel des Koalitionsvertrags der Ampel kommt der Begriff „Open | |
Source“ erstaunlich häufig vor. Sie soll künftig stärker gefördert werden. | |
Allein der Ansatz bedeutet mehr Anerkennung für die Ehrenamtlichen, die | |
nach Feierabend Anwendungen programmieren, die alle nutzen können. Teilhabe | |
im Netz ist die Basis für eine Digi-Offensive, die nicht nur darin besteht, | |
dass man seinen [3][Termin beim Bürgeramt online buchen kann.] Auch deshalb | |
hat sich die Ampel dazu entschieden, Digitalisierung als | |
Querschnittsaufgabe über alle Ressorts hinweg zu betrachten und dafür kein | |
reines Digitalministerium gegründet. | |
## Fragile Stellen | |
Die IT-Sicherheitsarchitektur ist fragil, bröckelt ab und an. In der | |
IT-Blase kursiert das Bild einer Konstruktion, die auf der unteren Etage | |
auf einem dünnen Beinchen steht. Bricht das weg oder wird angesägt, droht | |
das ganze Türmchen zusammenzubrechen. | |
Meint die Ampel es ernst mit dieser Offensive, muss sie sich genau um diese | |
fragilen Stellen kümmern, die oft nur wenige Expert:innen weltweit im | |
Blick haben. Dabei braucht es längst nicht nur Geld, um Behörden, | |
Verwaltung, Unternehmen aufzurüsten, wenn es um IT-Sicherheit geht – und um | |
Verbraucherschutz. | |
Man klatscht sich fassungslos an die Stirn, wenn beim Passwörter-Ranking | |
des Hasso-Plattner-Instituts die Eingabe „123456“ allen Ernstes auf dem | |
ersten Platz landet. „hallo“ und „berlin“ sind wahrlich auch nicht | |
sicherer, um Hacker:innen das Leben wenigstens geringfügig schwerer zu | |
machen. | |
Das Bundesamt für Sicherheit in der Informationstechnik rechnet mit Schäden | |
in Milliardenhöhe. Hektisch werden Updates programmiert, die | |
Anwender:innen aufgefordert, aufmerksam zu sein, Back-ups zu machen. | |
Hacks und Angriffe werden vermutlich erst viele Wochen, wenn nicht gar | |
Monate später entdeckt werden. Hacker:innen werden die Lücke nutzen, um | |
sich in die Systeme einzuschleichen, werden Updates umgehen und vermutlich | |
dann erst zuschlagen. Eine echte Chance für Ransomware, um Nutzer:innen | |
zu erpressen. | |
Dieses Monster rast durch die Wirren des Webs und wird sich nicht aufhalten | |
lassen. Log4shell ist eine Warnung an Entscheider:innen. Wieder mal. Dieses | |
Mal mit dem digitalen Vorschlaghammer. | |
18 Dec 2021 | |
## LINKS | |
[1] /Sicherheitsluecke-in-Deutschland/!5819208 | |
[2] https://www.nzz.ch/technologie/log4j-wurde-1997-in-der-schweiz-entwickelt-d… | |
[3] /Forscherin-ueber-Digitalisierung/!5796576 | |
## AUTOREN | |
Tanja Tricarico | |
## TAGS | |
IT-Sicherheit | |
Ampel-Koalition | |
Sicherheit | |
Digitalisierung | |
Ampel-Koalition | |
Hacker | |
Kolumne Digital Naives | |
## ARTIKEL ZUM THEMA | |
Infrastruktur, Sicherheit und Bildung: Digital wird besser | |
Der Digitalisierungsstau ist groß, die Ampel will das ändern. Ziel muss | |
sein, dass Regierung, Netzgemeinde und Tech-Giganten an einem Strang | |
ziehen. | |
Pläne der Ampelkoalition: Die neue Digital-Begeisterung | |
Für die neue Ampelkoalition ist es einfach, mit Digitalthemen zu punkten. | |
Aber in manchen Stellen im Koalitionsvertrag steckt Gruseliges. | |
Sicherheitslücke Log4Shell: Warnstufe Rot | |
Die Sicherheitslücke Log4jShell gefährdet weltweit Millionen | |
Online-Anwendungen und Apps. Nicht wenige warnen vor drastischen Folgen. | |
Überwachung mit Apple Airtags: Apple, hör die Signale | |
Datenschützer:innen können noch so oft vor Sicherheitslücken warnen. | |
Von den Unternehmen werden sie selten gehört. |