Angriff durch Cyber-Kriminelle: Sechs Ehrenamtliche und die IT-Sicherheit der deutschen Wirtschaft
Freiwillige Tüftler programmieren das weitverbreitete Software-Modul Log4j, dessen Schwachstelle nun Hacker nutzten. Wie es dazu kam und was helfen könnte.
Bis zum vergangenen Freitag dürfte kaum jemand außerhalb von IT-Entwicklungsabteilungen die Bezeichnung Log4j gehört haben. Dahinter steckt ein Softwarebaustein, der in tausenden Produkten enthalten ist, ohne dass Benutzer:innen es mitbekommen. Nun sorgt eine Schwachstelle dafür, dass Kriminelle Schadsoftware einschleusen, Systeme übernehmen oder Daten stehlen können – bei Unternehmen, Behörden und Institutionen.
Die Lage ist ernst. Laut dem IT-Sicherheitsunternehmen Checkpoint wurden 45 Prozent aller durch sie erfassten Firmennetzwerke in Deutschland angegriffen. Denn das Modul ist essenzieller Bestandteil zahlreicher Softwareprodukte. Konkret geht es um eine sogenannte Logging-Bibliothek, die Ereignisse innerhalb eines Server-Betriebs festhält und damit die Fehlerwartung ermöglicht.
Genau diese Fehlerwartung hat aber offensichtlich nicht funktioniert. Und schon stellt sich die Frage: Wie konnte das passieren? Und was muss sich ändern? Die Antwort ist komplex, weil es hier um die Natur des Internets mit seiner Open-Source-Kultur geht.
Denn das so essentielle Modul Log4j wird nicht von einem großen Unternehmen irgendwo auf der Welt programmiert, sondern von sechs Privatpersonen geschrieben und gewartet. Sie machen das unbezahlt, ehrenamtlich, im Feierabend und am Wochenende.
Das Internet ist akademischer Herkunft - und in der Wissenschaft teilt man gern Erkenntnisse
Das Internet hat, so wie die gesamte Informatik, eine akademische Herkunft. Das ist der Grund dafür, dass die Software-Bausteine zu einem großen Teil frei verfügbar sind und von enthusiastischen Freiwilligen gepflegt und entwickelt werden. Wie in der Wissenschaft teilt man gerne seine Erkenntnisse.
Das Prinzip heißt „Open Source“, quelloffene Software, die von allen benutzt und weiterverwendet werden kann. Der Kern der Software auf jedem Android-Telefon oder der Webserver im Internet – alles ist aus Open-Source-Bausteinen zusammengesetzt und wird dann erst von großen Firmen wie Google als Produkt vertrieben.
[Alle wichtigen Nachrichten des Tages finden Sie im kostenlosen Tagesspiegel-Newsletter "Fragen des Tages". Dazu Kommentare, Reportagen und Freizeit-Tipps. Zur Anmeldung geht es hier.]
Daher greifen die jetzt aufkommenden Forderungen, dass die allseits geschätzte Arbeit der Freiwilligen auf nachhaltigere Füße gestellt werden müsse, um diese Komponenten besser zu pflegen, zu kurz. Ja, mehr Geld und mehr Förderung sind dringend geboten. Denn gerade „Fleißarbeit“ wie eine kontinuierliche Sicherheitsüberprüfung bleibt oft auf der Strecke.
Die Internetgiganten nutzen die kostenlose Arbeit der Freiwilligen gern
Und Industrie und insbesondere Internet-Giganten setzen die kostenlose Arbeit der Freiwilligen nur zu gerne ein, aber eine Förderkultur besteht nur in Ansätzen oder in Form von Pilotprojekten.
Nachdem es 2014 eine ähnliche Schwachstelle („Heartbleet“) bei einer Verschlüsselungskomponente gegeben hatte, legte die EU 2016 einen Fonds auf, um die professionelle Sicherheitsüberprüfung von Open-Source-Komponenten zu finanzieren. Das Projekt wurde später nicht fortgesetzt.
In Deutschland stellte die Open Knowledge Foundation kürzlich ihre Idee eines „Sovereign Tech Fund“ vor, um die Arbeit der Freiwilligen durch Bundesmittel zu verstetigen.
Doch noch ist nicht offensichtlich, was genau mit mehr Geld angefangen werden soll: Kaum jemand hatte vor dem Fehler in Log4j diese Standardkomponente als mögliches Sicherheitsrisiko im Blick.
Bis heute gibt es zudem keine umfassende Liste von Open-Source-Software, die als Infrastruktur für Software-Entwicklung besonderer Förderung bedürfte. Dazu kommt, dass die Arbeit von Freiwilligen oft nicht in die Abläufe von Behörden oder staatlichen Förderstellen passt – wie bildet man Enthusiasmus und Spaß an der Entwicklung in Prozessen oder in Stellenplänen ab?
Auf dem Weg zu einer nachhaltigen Sicherung der digitalen Infrastruktur in Form von Open Source müssen also noch viele Fragen beantwortet werden. Die Schwachstelle in Log4j zeigt, dass wir damit schnell anfangen müssen – die finanzielle Förderung der Arbeit von Freiwilligen kann dabei aber nur ein Schritt sein.
Jens Ohlig