 |
# taz.de -- Fehlerhafter Java-Code: Das Monster im Maschinenraum |
|
|
|
> Eine Schwachstelle im System zeigt, wie wenig Beachtung die digitale |
|
> Sicherheitsarchitektur bekommt. Schafft die Ampel die Kehrtwende? |
|
|
 |
Bild: Wird hier gerade ein Fehler entdeckt? |
|
|
|
In der Regel schaffen es harte IT-Themen nicht in die Schlagzeilen. Selbst |
|
Nachrichten zu massivem Datenklau und Hackerattacken oder Angriffe auf die |
|
kritische Infrastruktur werden nicht ernst genommen oder gehen unter im |
|
Wust der News. |
|
|
|
In der Regel – denn in der vergangenen Woche war alles anders. Vermutlich |
|
auch, weil sämtliche IT-Expert:innen der Republik auf allen Kanälen |
|
aufschrien. Von einem Feuer im Internet war die Rede, von der Warnstufe |
|
Rot, [1][wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) |
|
meldete.] |
|
|
|
Was war passiert? Ein fehlerhafter Code aus der Protokollierungsbibliothek |
|
Log4j („Logging for Java“) der Programmiersprache Java war entdeckt worden. |
|
Eine Java-Bibliothek ist ein Softwaremodul, das zur Umsetzung einer |
|
bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist also |
|
tief in deren Architektur verankert. |
|
|
|
Die Sicherheitslücke – genannt Log4shell – betrifft Millionen Apps, |
|
Onlineanwendungen unterschiedlichster Art, von den verschiedensten |
|
Unternehmen. Ein Fest für Hacker:innen, um Zugang zu Systemen in aller Welt |
|
zu bekommen. Betroffen sind auch Bundesbehörden. Ein erfolgreiches |
|
Ausnutzen der Sicherheitslücke ermögliche „eine vollständige Übernahme des |
|
betroffenen Systems“, hieß es seitens des BSI. Der Ernstfall ist somit |
|
jetzt. Log4j ist Open Source, also eine kostenfreie Anwendung, die ohne |
|
Lizenzgebühren genutzt werden kann. |
|
|
|
## In den Weltraum |
|
|
|
Vor 24 Jahren hat Ceki Gülcü den Code mit zwei Kolleg:innen entwickelt, |
|
[2][wie die Neue Zürcher Zeitung berichtet.] Nur Expert:innen kannten |
|
die Komponente, obwohl sie weltweit genutzt wird. Sie steckt im |
|
Speicherdienst iCloud von Apple, wird von den Macher:innen von |
|
Minecraft verwendet, von Amazon, Twitter, Tesla. Log4j kommt auch zum |
|
Einsatz, wenn es darum geht, W-LAN-Zugänge zu verwalten, oder Sonden in den |
|
Weltraum zu schießen. Drei Milliarden Geräte, die Java und Log4j nutzen, |
|
könnten betroffen sein, von der Erde bis ins All. Log4j ist überall – und |
|
kaum einer wusste es. |
|
|
|
An Open-Source-Anwendungen arbeiten in der Regel weltweit, die |
|
unterschiedlichsten Expert:innen gratis, im Sinne des Gemeinwohls, der |
|
Teilhabe. Es ist ein Geschenk an die Nutzer:innen. Die Verwirklichung des |
|
Urgedanken des Internets: Das Netz wird von allen gemacht und ist für alle |
|
da. |
|
|
|
Etliche Unternehmen, darunter Tech-Giganten verwenden die kostenlosen |
|
Anwendungen und verdienen Milliarden. Ist das nicht ungerecht und unfair? |
|
Klingt so. Ein monetärer Ausgleich ist aber nicht im Sinne der |
|
Erfinder:innen. Schließlich fordert man für ein Geschenk auch kein Geld |
|
zurück. Mit der Sicherheitslücke ist dennoch die Debatte über eine |
|
Bezahlung, über Verantwortlichkeiten und über Spenden für solche |
|
Gratisanwendungen entflammt. Die Erkenntnis, dass ein wichtiger Baustein |
|
der Sicherheitsarchitektur von wenigen getragen wird, macht nervös. |
|
|
|
Im Digitalkapitel des Koalitionsvertrags der Ampel kommt der Begriff „Open |
|
Source“ erstaunlich häufig vor. Sie soll künftig stärker gefördert werden. |
|
Allein der Ansatz bedeutet mehr Anerkennung für die Ehrenamtlichen, die |
|
nach Feierabend Anwendungen programmieren, die alle nutzen können. Teilhabe |
|
im Netz ist die Basis für eine Digi-Offensive, die nicht nur darin besteht, |
|
dass man seinen [3][Termin beim Bürgeramt online buchen kann.] Auch deshalb |
|
hat sich die Ampel dazu entschieden, Digitalisierung als |
|
Querschnittsaufgabe über alle Ressorts hinweg zu betrachten und dafür kein |
|
reines Digitalministerium gegründet. |
|
|
|
## Fragile Stellen |
|
|
|
Die IT-Sicherheitsarchitektur ist fragil, bröckelt ab und an. In der |
|
IT-Blase kursiert das Bild einer Konstruktion, die auf der unteren Etage |
|
auf einem dünnen Beinchen steht. Bricht das weg oder wird angesägt, droht |
|
das ganze Türmchen zusammenzubrechen. |
|
|
|
Meint die Ampel es ernst mit dieser Offensive, muss sie sich genau um diese |
|
fragilen Stellen kümmern, die oft nur wenige Expert:innen weltweit im |
|
Blick haben. Dabei braucht es längst nicht nur Geld, um Behörden, |
|
Verwaltung, Unternehmen aufzurüsten, wenn es um IT-Sicherheit geht – und um |
|
Verbraucherschutz. |
|
|
|
Man klatscht sich fassungslos an die Stirn, wenn beim Passwörter-Ranking |
|
des Hasso-Plattner-Instituts die Eingabe „123456“ allen Ernstes auf dem |
|
ersten Platz landet. „hallo“ und „berlin“ sind wahrlich auch nicht |
|
sicherer, um Hacker:innen das Leben wenigstens geringfügig schwerer zu |
|
machen. |
|
|
|
Das Bundesamt für Sicherheit in der Informationstechnik rechnet mit Schäden |
|
in Milliardenhöhe. Hektisch werden Updates programmiert, die |
|
Anwender:innen aufgefordert, aufmerksam zu sein, Back-ups zu machen. |
|
Hacks und Angriffe werden vermutlich erst viele Wochen, wenn nicht gar |
|
Monate später entdeckt werden. Hacker:innen werden die Lücke nutzen, um |
|
sich in die Systeme einzuschleichen, werden Updates umgehen und vermutlich |
|
dann erst zuschlagen. Eine echte Chance für Ransomware, um Nutzer:innen |
|
zu erpressen. |
|
|
|
Dieses Monster rast durch die Wirren des Webs und wird sich nicht aufhalten |
|
lassen. Log4shell ist eine Warnung an Entscheider:innen. Wieder mal. Dieses |
|
Mal mit dem digitalen Vorschlaghammer. |
|
|
|
18 Dec 2021 |
|
|
|
## LINKS |
|
|
 |
[1] /Sicherheitsluecke-in-Deutschland/!5819208 |
|
[2] https://www.nzz.ch/technologie/log4j-wurde-1997-in-der-schweiz-entwickelt-d… |
|
[3] /Forscherin-ueber-Digitalisierung/!5796576 |
|
|
|
## AUTOREN |
|
|
|
Tanja Tricarico |
|
|
|
## TAGS |
|
|
|
IT-Sicherheit |
|
Ampel-Koalition |
|
Sicherheit |
|
Digitalisierung |
|
Ampel-Koalition |
|
Hacker |
|
Kolumne Digital Naives |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Infrastruktur, Sicherheit und Bildung: Digital wird besser |
|
|
|
Der Digitalisierungsstau ist groß, die Ampel will das ändern. Ziel muss |
|
sein, dass Regierung, Netzgemeinde und Tech-Giganten an einem Strang |
|
ziehen. |
|
|
|
Pläne der Ampelkoalition: Die neue Digital-Begeisterung |
|
|
|
Für die neue Ampelkoalition ist es einfach, mit Digitalthemen zu punkten. |
|
Aber in manchen Stellen im Koalitionsvertrag steckt Gruseliges. |
|
|
|
Sicherheitslücke Log4Shell: Warnstufe Rot |
|
|
|
Die Sicherheitslücke Log4jShell gefährdet weltweit Millionen |
|
Online-Anwendungen und Apps. Nicht wenige warnen vor drastischen Folgen. |
|
|
|
Überwachung mit Apple Airtags: Apple, hör die Signale |
|
|
|
Datenschützer:innen können noch so oft vor Sicherheitslücken warnen. |
|
Von den Unternehmen werden sie selten gehört. |
