Süddeutsche Zeitung

Sicherheitslücke "Log4shell" im Internet:Das Atlas-Problem

Lesezeit: 3 min

Chaos im Netz: Die Log4shell-Katastrophe macht sichtbar, dass die digitale Welt auf wenigen, überlasteten Schultern ruht.

Kommentar von Jannis Brühl

Eine Comic-Zeichnung ist schon lange unter Informatik-Experten beliebt, und derzeit geht sie wieder durch die sozialen Medien: Ein wackliger Turm aus unterschiedlich großen, unterschiedlich alten Blöcken schwankt vor sich hin - das ist die digitale Infrastruktur, in der ein immer größerer Teil des Lebens stattfindet. Aufrecht gehalten wird das Gebilde nur von einem dünnen Stäbchen, das unter der Last ächzt. Auf dem Stäbchen steht: "Ein Projekt, das irgendein Typ in Nebraska seit 2003 am Laufen hält, ohne dass ihm jemand dankt." Es steht für all die Freiwilligen, die sich aus Leidenschaft und Pflichtgefühl um die Infrastruktur des Internets kümmern.

Dieses Stäbchen wurde nun weggetreten. Im Netz herrscht Chaos. Eine Schwachstelle namens Log4shell macht Hunderte Millionen Geräte und Apps, die am Internet hängen, angreifbar für Hacker. Die Lücke klafft in Log4j, einem viel genutzten Hilfsprogramm. Wie ein Protokollführer vermerkt es alles, was auf einem Gerät passiert. Über die Lücke lässt sich dieser Protokollführer mit einem digitalen Voodoo-Spruch hypnotisieren: Wer die passende Zeichenfolge einspeist, kann die Kontrolle über das System gewinnen und sich gespeicherte Passwörter oder Kreditkartendaten verraten lassen. Jeder Teenager mit rudimentären Hackerkenntnissen kann die Lücke ausnutzen.

Die Nasa und der kleine Mars-Helikopter

Millionen Türen stehen also Vandalen, Geheimdiensten und Kriminellen offen. Von Letzteren ist zu erwarten, dass sie digitale Hintertüren in viele Systeme einbauen, um sie dann irgendwann für Erpressungen mit Ransomware zu nutzen. Solche Software macht Computer von Firmen unbrauchbar, bis die Lösegeld zahlen. Weil bis zu drei Milliarden Geräte die Programmiersprache Java nutzen und mit ihr Log4j - und davon wiederum viele angreifbar sind -, sprechen Fachleute von der größten Sicherheitslücke seit Bestehen des Internets, die womöglich sogar bis ins Weltall reicht. Der kleine Helikopter, den die Nasa 2020 auf den Mars schickte, nutzt ebenfalls Log4j.

Wer ist schuld an dieser Heimsuchung von interplanetarem Ausmaß?

Es wäre einfach, auf jene Menschen bei der Apache-Stiftung in den USA zu zeigen, die sich um Log4j kümmern. Doch das täte ihnen und all jenen anderen Software-Tüftlern Unrecht, die das Netz stützen wie der mythische Titan Atlas den Himmel - ohne Dank und oft ohne Bezahlung.

Freie und Open-Source-Software - dafür steht die schöne Abkürzung FOSS: Jeder kann sie nutzen, weil sie oft ohne kommerzielle Hintergedanken frei im Netz steht. Ohne FOSS kein Internet, und wer ein sicheres Internet will, der muss diese Gemeinschaft unterstützen. Für jeden Tech-Milliardär, der gerne auf frei verfügbare Software zurückgreift, um sein Imperium aufzubauen, arbeiten Hunderte gratis am Fundament des Internets. Sie schützen es vor Hackern, kitten Risse und achten sogar darauf, dass es gut aussieht. Oft sind diese Menschen die einzigen, die wissen, wie alte Infrastruktur instand gehalten werden kann.

Ein Projekt von Menschen für Menschen

Log4shell ist eine Erinnerung, dass das Internet ursprünglich eben kein kommerzielles Projekt war, sondern ein Netz von Menschen für Menschen (in dessen Fundament auch einige Dollar aus der US-Militärforschung stecken). Manch einer mag das nicht wissen oder vergessen haben. Strom kommt halt aus der Steckdose, und Weihnachtsgeschenke erscheinen per "One Click" von Amazon.

Viele erwarten, dass das Internet problemlos so funktioniert, als stünde ein Milliardenkonzern mit hochbezahlten Programmierern dahinter. Dabei kümmern sich zum Beispiel um Log4j nur eine Handvoll Freiwillige. Die Konzerne sind nur die Nutznießer dieser Infrastruktur.

Die Log4shell-Katastrophe sollte ein Weckruf sein: Es müssen Anreize her, das Netz abzusichern. Dazu gehören Anerkennung und Geld für die engagierten Pfleger der Infrastruktur. Damit Probleme wie Log4shell früher entdeckt und behoben werden können und um zu erkennen, welche Teile der Infrastruktur überhaupt anfällig sind, müssen Politiker Geld in die Hand nehmen und verstehen, dass digitale Infrastruktur genauso wichtig ist, wie es Brücken oder Autobahnkreuze sind. In Deutschland hat die Ampel-Koalition immerhin versprochen, Open Source mit öffentlichen Aufträgen zu fördern. Im Internet-Erfinderland USA erholt sich die Open-Source-Gemeinde noch vom Versuch der Trump-Regierung, ihren Förder-Fonds als eine Art Labor für digitale Kampfstoffe gegen China zu missbrauchen.

Das Netz ist kein sicherer Ort

Doch erst einmal ist Schadensbegrenzung angesagt. IT-Abteilungen in Unternehmen suchen nun nach dem obskuren Unterprogramm Log4j, von dem viele von ihnen bis zum Wochenende noch nie gehört haben dürften. Fachleute erstellen hektisch Listen, welche Dienste überhaupt betroffen sind. Deren Betreiber - wie der Hersteller des Computerspiels "Minecraft" - bauen unter Zeitdruck Software-Aktualisierungen, um sich abzusichern.

Und die Bürger? Sie verlieren einmal mehr den Glauben, dass das Internet ein Ort ist, in dem sie sicher sind. Sie vertrauten ihren Lieblingsdiensten, von Apples iCloud bis zum Spiel "Minecraft". Nun stehen sie wieder einmal ohnmächtig vor dem Chaos. Ihnen bleibt wenig mehr, als auf die Aktualisierungen zu warten. Und Politik und Konzerne daran zu erinnern, dass das Internet nicht von alleine aufrecht steht, sondern auf den Schultern übermüdeter Freiwilliger lehnt.

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.5487081
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.