# taz.de -- Fehlerhafter Java-Code: Das Monster im Maschinenraum
       
       > Eine Schwachstelle im System zeigt, wie wenig Beachtung die digitale
       > Sicherheitsarchitektur bekommt. Schafft die Ampel die Kehrtwende?
       
 (IMG) Bild: Wird hier gerade ein Fehler entdeckt?
       
       In der Regel schaffen es harte IT-Themen nicht in die Schlagzeilen. Selbst
       Nachrichten zu massivem Datenklau und Hackerattacken oder Angriffe auf die
       kritische Infrastruktur werden nicht ernst genommen oder gehen unter im
       Wust der News.
       
       In der Regel – denn in der vergangenen Woche war alles anders. Vermutlich
       auch, weil sämtliche IT-Expert:innen der Republik auf allen Kanälen
       aufschrien. Von einem Feuer im Internet war die Rede, von der Warnstufe
       Rot, [1][wie das Bundesamt für Sicherheit in der Informationstechnik (BSI)
       meldete.]
       
       Was war passiert? Ein fehlerhafter Code aus der Protokollierungsbibliothek
       Log4j („Logging for Java“) der Programmiersprache Java war entdeckt worden.
       Eine Java-Bibliothek ist ein Softwaremodul, das zur Umsetzung einer
       bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist also
       tief in deren Architektur verankert.
       
       Die Sicherheitslücke – genannt Log4shell – betrifft Millionen Apps,
       Onlineanwendungen unterschiedlichster Art, von den verschiedensten
       Unternehmen. Ein Fest für Hacker:innen, um Zugang zu Systemen in aller Welt
       zu bekommen. Betroffen sind auch Bundesbehörden. Ein erfolgreiches
       Ausnutzen der Sicherheitslücke ermögliche „eine vollständige Übernahme des
       betroffenen Systems“, hieß es seitens des BSI. Der Ernstfall ist somit
       jetzt. Log4j ist Open Source, also eine kostenfreie Anwendung, die ohne
       Lizenzgebühren genutzt werden kann.
       
       ## In den Weltraum
       
       Vor 24 Jahren hat Ceki Gülcü den Code mit zwei Kolleg:innen entwickelt,
       [2][wie die Neue Zürcher Zeitung berichtet.] Nur Expert:innen kannten
       die Komponente, obwohl sie weltweit genutzt wird. Sie steckt im
       Speicherdienst iCloud von Apple, wird von den Macher:innen von
       Minecraft verwendet, von Amazon, Twitter, Tesla. Log4j kommt auch zum
       Einsatz, wenn es darum geht, W-LAN-Zugänge zu verwalten, oder Sonden in den
       Weltraum zu schießen. Drei Milliarden Geräte, die Java und Log4j nutzen,
       könnten betroffen sein, von der Erde bis ins All. Log4j ist überall – und
       kaum einer wusste es.
       
       An Open-Source-Anwendungen arbeiten in der Regel weltweit, die
       unterschiedlichsten Expert:innen gratis, im Sinne des Gemeinwohls, der
       Teilhabe. Es ist ein Geschenk an die Nutzer:innen. Die Verwirklichung des
       Urgedanken des Internets: Das Netz wird von allen gemacht und ist für alle
       da.
       
       Etliche Unternehmen, darunter Tech-Giganten verwenden die kostenlosen
       Anwendungen und verdienen Milliarden. Ist das nicht ungerecht und unfair?
       Klingt so. Ein monetärer Ausgleich ist aber nicht im Sinne der
       Erfinder:innen. Schließlich fordert man für ein Geschenk auch kein Geld
       zurück. Mit der Sicherheitslücke ist dennoch die Debatte über eine
       Bezahlung, über Verantwortlichkeiten und über Spenden für solche
       Gratisanwendungen entflammt. Die Erkenntnis, dass ein wichtiger Baustein
       der Sicherheitsarchitektur von wenigen getragen wird, macht nervös.
       
       Im Digitalkapitel des Koalitionsvertrags der Ampel kommt der Begriff „Open
       Source“ erstaunlich häufig vor. Sie soll künftig stärker gefördert werden.
       Allein der Ansatz bedeutet mehr Anerkennung für die Ehrenamtlichen, die
       nach Feierabend Anwendungen programmieren, die alle nutzen können. Teilhabe
       im Netz ist die Basis für eine Digi-Offensive, die nicht nur darin besteht,
       dass man seinen [3][Termin beim Bürgeramt online buchen kann.] Auch deshalb
       hat sich die Ampel dazu entschieden, Digitalisierung als
       Querschnittsaufgabe über alle Ressorts hinweg zu betrachten und dafür kein
       reines Digitalministerium gegründet.
       
       ## Fragile Stellen
       
       Die IT-Sicherheitsarchitektur ist fragil, bröckelt ab und an. In der
       IT-Blase kursiert das Bild einer Konstruktion, die auf der unteren Etage
       auf einem dünnen Beinchen steht. Bricht das weg oder wird angesägt, droht
       das ganze Türmchen zusammenzubrechen.
       
       Meint die Ampel es ernst mit dieser Offensive, muss sie sich genau um diese
       fragilen Stellen kümmern, die oft nur wenige Expert:innen weltweit im
       Blick haben. Dabei braucht es längst nicht nur Geld, um Behörden,
       Verwaltung, Unternehmen aufzurüsten, wenn es um IT-Sicherheit geht – und um
       Verbraucherschutz.
       
       Man klatscht sich fassungslos an die Stirn, wenn beim Passwörter-Ranking
       des Hasso-Plattner-Instituts die Eingabe „123456“ allen Ernstes auf dem
       ersten Platz landet. „hallo“ und „berlin“ sind wahrlich auch nicht
       sicherer, um Hacker:innen das Leben wenigstens geringfügig schwerer zu
       machen.
       
       Das Bundesamt für Sicherheit in der Informationstechnik rechnet mit Schäden
       in Milliardenhöhe. Hektisch werden Updates programmiert, die
       Anwender:innen aufgefordert, aufmerksam zu sein, Back-ups zu machen.
       Hacks und Angriffe werden vermutlich erst viele Wochen, wenn nicht gar
       Monate später entdeckt werden. Hacker:innen werden die Lücke nutzen, um
       sich in die Systeme einzuschleichen, werden Updates umgehen und vermutlich
       dann erst zuschlagen. Eine echte Chance für Ransomware, um Nutzer:innen
       zu erpressen.
       
       Dieses Monster rast durch die Wirren des Webs und wird sich nicht aufhalten
       lassen. Log4shell ist eine Warnung an Entscheider:innen. Wieder mal. Dieses
       Mal mit dem digitalen Vorschlaghammer.
       
       18 Dec 2021
       
       ## LINKS
       
 (DIR) [1] /Sicherheitsluecke-in-Deutschland/!5819208
 (DIR) [2] https://www.nzz.ch/technologie/log4j-wurde-1997-in-der-schweiz-entwickelt-der-erfinder-erzaehlt-ld.1660571
 (DIR) [3] /Forscherin-ueber-Digitalisierung/!5796576
       
       ## AUTOREN
       
 (DIR) Tanja Tricarico
       
       ## TAGS
       
 (DIR) IT-Sicherheit
 (DIR) Ampel-Koalition
 (DIR) Sicherheit
 (DIR) Digitalisierung
 (DIR) Ampel-Koalition
 (DIR) Hacker
 (DIR) Kolumne Digital Naives
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Infrastruktur, Sicherheit und Bildung: Digital wird besser
       
       Der Digitalisierungsstau ist groß, die Ampel will das ändern. Ziel muss
       sein, dass Regierung, Netzgemeinde und Tech-Giganten an einem Strang
       ziehen.
       
 (DIR) Pläne der Ampelkoalition: Die neue Digital-Begeisterung
       
       Für die neue Ampelkoalition ist es einfach, mit Digitalthemen zu punkten.
       Aber in manchen Stellen im Koalitionsvertrag steckt Gruseliges.
       
 (DIR) Sicherheitslücke Log4Shell: Warnstufe Rot
       
       Die Sicherheitslücke Log4jShell gefährdet weltweit Millionen
       Online-Anwendungen und Apps. Nicht wenige warnen vor drastischen Folgen.
       
 (DIR) Überwachung mit Apple Airtags: Apple, hör die Signale
       
       Datenschützer:innen können noch so oft vor Sicherheitslücken warnen.
       Von den Unternehmen werden sie selten gehört.