Für mache Leserin oder Leser mutet es an wie ein nerdiges Thema der Computerindustrie. Allein der Name der Schwachstelle CVE-2021-44228 oder der „anwenderfreundliche“ Name log4shell sind abschreckend uns kryptisch, sodass sich wenige Menschen animiert fühlen, sich näher mit dem Problem zu befassen.
Auch die Einstufung auf die Gefahrenstufe rot des BSI mag für viele Menschen eine Schlagzeile sein, aber mehr auch nicht. https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html
Das Internet brennt
So kann man die Schwere dieser Schwachstelle umschreiben. Nahezu alle Webdienste sind davon betroffen. Es gibt keinen wirksamen Schutz und auch der Patch, also ein Softwarepflaster scheint nicht zu helfen.
https://www.heise.de/news/Neue-Probleme-Log4j-Patch-genuegt-nicht-6295343.html
Wie heftig die Gefahr ist kann man unterdessen in vielen Artikeln, auch in der regulären Presse, lesen
https://www.zeit.de/digital/2021-12/log4j-sicherheitsluecke-software-log4shell-it
Framewoks und freie Bibliotheken sind das Convenience Food der Softwareentwicklung
Frameworks sind Vermittler zwischen einer entwickelten Software und einem Betriebssystem. Für EntwicklerInnen eine ideale Erfindung, weil damit die eigene Software auf verschiedenen Plattformen (Microsoft, Apple, dem Web, SmartTVs, Autos etc.) ausgeführt werden kann, ohne aufwendig angepasst zu werden. Natürlich gibt es viele Argumente für oder gegen Frameworks. Fest steht, sie sind massiv in Benutzung. Zu diesen „Vermittlern“ gibt es wiederum Erweiterungsmöglichkeiten, die eingebunden werden können, um die Leistungsfähigkeit oder den Funktionsumfang zu erweitern. Und genau so eine Erweiterung/Bibliothek ist log4j.
Technische Lösung
Wie man der Lücke in Software begegnen kann ist hinlänglich bekannt. Man entwickelt ein Update und verteilt es. Nun gib es bei log4j entscheidende Herausforderungen.
Zum einen ist dieses Bibliothek so dermaßen beliebt – weil extrem gut nutzbar – dass diese Erweiterung nahezu überall zum Einsatz kommt und zum anderen muss das Update dieser Bibliothek vom Softwareentwickler verteilt werden, der diese Erweiterung verwendet hat. Viele System sind entweder sehr alt und der Entwickler gibt keinen Support oder Gerätehersteller (z.B. für Router, Fernseher, Spülmaschinen) haben kein Interesse, diese Komponenten zu pflegen. Dazu haben viele Hersteller im Konsumgüterbereich keine Prozesse oder kein Know-How, weil die Funktion der Internetanbindung ihrerseits wieder nur zugekauft wird. Bleibt also viel zu hoffen oder am Ende ein Austausch der betroffenen Geräte. (weiter unten beschreibe ich noch wieso auch eine Spülmaschine ein riskantes Ziel sein kann)
Politische Lösung
Es bedarf einer verbrieften Garantie für Software. Nicht dass wir verlangen, dass Softwarekomponenten fehlerfrei sein müssen, das ist komplett unrealistisch, denn wo Menschen arbeiten passieren Fehler. Aber ein Hersteller eine mit einem Netzwerk zu verbindenden Geräts muss verpflichtet sein, für einen gewissen Zeitraum Updates bereitzustellen. Gerade sicherheitsrelevante Fehler werden gerne unter den Tisch fallen lassen, im Gegensatz zu Fehlern, die die Funktion beeinträchtigen, weil die Endkunden nicht direkt die Auswirkung eines Sicherheitsfehlers bemerken. Daher müssen wir politisch dafür sorgen, dass Hersteller verbundener Geräte, Ihre Software für den Produktlebenszyklus pflegen und Updates bereitstellen.
Die Spülmaschine am Netz als Gefahr
Was sollen denn in meiner Spülmaschine schon zu holen sein? Diese Frage in vielen ähnlichen Formen höre ich in meiner beruflichen Praxis öfter. Meist geht es nicht im Spülmaschinen, sondern um Lichtsteuerungen, Kaffeeautomaten mit Bestellfunktion und im Groben IoT (Internet Of Things) Geräte. Natürlich hat niemand ein Interesse daran zu sehen, wann ein Spülvorgang abgeschlossen sein wird oder ob Salz nachgefüllt werden muss. Aber dieses intelligente (Smarte) Gerät besitzt einen Speicher, einen Prozessor und (wahrscheinlich am wichtigsten) einen Zugang zum Netz. Und auch wenn niemand seine Patentschriften im Speicher der Spülmaschine ablegen wird, so kann sich ein Angreifer auf dem Gerät einnisten und hat ein Bein im lokalen Netzwerk stehen. Von da aus lässt sich der gesamte Datenverkehr im lokalen Netz mitschneiden. Dieser ist in der Regel unverschlüsselt. Außerhalb von Bürozeiten kann zudem ungehindert im Netz weiter geforscht werden, ohne dass AnwenderInnen durch eventuelle Anomalien hellhörig würden. Und zuletzt kann auch dieses Gerät für weitaus größeres Angriffe auf weitere Ziele missbraucht werden. Und alles nur, weil der Hersteller der Spülmaschine einen Zulieferer für sein Web Modul verwendet hat, der in seiner Software log4j als Bibliothek verwendet hat.
Und das erschreckende zum Schluss
Das Problem ist nicht neu. Schon 2013 hatte Vaillant durch einen Zulieferer eine massive Sicherheitslücke.
Vaillant: Sicherheitslücke bedroht Hightech-Heizungen – DER SPIEGEL