Direkt zum Inhalt

Open-Source-Software: Offen für alles?

Inzwischen baut Software meist auf frei verfügbaren Programmen auf, deren Quellcode jeder einsehen kann. Das bietet einige Vorteile, doch die kürzlich entdeckte Sicherheitslücke sollte ein Weckruf sein.
ein Software Developer mit Smartphone

Das vergangene Wochenende war für Softwareentwickler auf der ganzen Welt ein Albtraum: Nachdem eine Sicherheitslücke enormen Ausmaßes publik wurde, »die selbst Sechsjährige ausnutzen können«, rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) die höchste Warnstufe aus. Betroffen sind demnach zahlreiche Programme, die in verschiedensten Bereichen eingesetzt werden, von Minecraft, Cisco-Systemen, Apple iCloud, Amazon Web Services und so weiter. Nun stellt sich die Welt eine Frage: Wie konnte es dazu kommen?

Tatsächlich wirkt das Programm Log4j von Apache, das die Probleme verursacht, auf den ersten Blick ziemlich harmlos. Es handelt sich um einen so genannten Logger, der lediglich protokolliert, welche Aktivitäten auf einer Software ablaufen. Logger benötigt man teilweise aus rechtlichen Gründen, um nachzuweisen, wie eine bestimmte Anwendung genutzt wurde, aber auch, um eventuelle Fehler aufzuspüren. Nun hat sich allerdings herausgestellt, dass Log4j eine gravierende Sicherheitslücke hat. Sie macht es einem Angreifer möglich, Programmcode unbemerkt auf einem Rechner, auf dem der Logger läuft, einzufügen und diesen dort auch auszuführen. So kann man etwa Daten stehlen oder mit fremder Rechenleistung Kryptowährungen schürfen.

Das Ausmaß der Sicherheitsbedrohung ist so groß, weil Log4j enorm weit verbreitet ist und in verschiedensten Anwendungen zum Einsatz kommt. Denn es ist eine Open-Source-Software (kurz: OSS), das heißt, der Quellcode ist frei zugänglich und für jeden unentgeltlich nutzbar. Tatsächlich basiert inzwischen ein Großteil der genutzten IT-Infrastruktur auf OSS, die sich im Allgemeinen als viel sicherer erweist als kommerzielle Varianten. Während beispielsweise der Quellcode des frei verfügbaren Betriebssystems Linux durchschnittlich 0,17 Fehler pro 1000 Zeilen Code besitzt, sind es bei den kommerziellen Systemen zwischen 20 und 30, wie »Wired« bereits 2004 berichtete. Das ist nicht weiter verwunderlich: Wenn ein Programmcode öffentlich zugänglich ist, können ihn viele Personen überprüfen, wodurch sich mehr Fehler ausräumen lassen.

Eine undankbare Arbeit

Was ist also bei Log4j schiefgelaufen? Diese Frage kursiert seit letztem Wochenende im Internet. Schnell machte ein xkcd-Comic die Runde, welcher das Problem in einem Bild zusammenfasst: Es zeigt ein kompliziertes, wackeliges System, das sich aus zahlreichen Einzelteilen zusammensetzt. Dieses stellt »unsere gesamte moderne digitale Infrastruktur« dar. Das Gebilde fußt aber auf einem winzigen Bestandteil, »einem Projekt, das irgendeine Person in Nebraska seit 2003 ohne Dank wartet«. Das ist mehr oder weniger die Geschichte von Log4j und die vieler anderer Open-Source-Projekte, die Entwickler in ihrer Freizeit pflegen.

Während angestellte Informatiker in Firmen nicht selten sechsstellige Jahresgehälter beziehen, finanzieren sich Personen, die an Open-Source-Projekten arbeiten, über Spenden. Tatsächlich hatte Ralph Goers, der Log4j in seiner Freizeit (neben seinem Vollzeitjob) verwaltet, bis vor Kurzem lediglich drei Förderer auf der Software-Plattform »GitHub«. Auch Volkan Yazıcı, der an Log4j mitarbeitet, beschwert sich auf Twitter: »Wir haben ununterbrochen an Maßnahmen gearbeitet … Doch nichts hält die Leute davon ab, uns wegen einer Arbeit zu beschimpfen, für die wir nicht einmal bezahlt werden …«

Leider ist das Problem nicht neu. Bereits 2014 machte die so genannte Heartbleed-Sicherheitslücke darauf aufmerksam, dass man den Umgang mit Open-Source-Software überdenken muss – und deren Entwickler besser finanziell entlohnen sollte. Zudem ist es erschreckend, dass zahlreiche Firmen diese Programme offenbar nutzen, ohne sie zuvor eingehend zu prüfen.

Das Ende von Open Source?

Trotz des katastrophalen Ausmaßes der Sicherheitslücke von Log4j sehen Fachleute darin kein Versagen von Open-Source-Software. Zwar bringt die freie Verfügbarkeit des Quellcodes in diesem Fall Nachteile mit sich, so haben etwa einem Tweet vom CEO des Internetsicherheitsdienstes »Cloudflare« zufolge zeitweise mehr als 400 Angriffe pro Sekunde auf die Log4j-Schwachstelle stattgefunden. Inzwischen gibt es jedoch eine überarbeitete Version des Programms, in der das Schlupfloch nicht mehr vorhanden ist.

Tatsächlich bieten frei verfügbare Quellcodes viele Vorteile, die weit über finanzielle Aspekte hinausgehen. Neben einer höheren Sicherheit sind die Programme durch den freien Zugang wesentlich flexibler und vielfältiger: Entwickler können etwa Erweiterungen herausarbeiten, von denen auch andere profitieren. Dadurch ist die Software beispielsweise nicht an die festen Strukturen gebunden, die ein bestimmtes Unternehmen vorgibt, sondern kann zahlreiche Anwendungen ermöglichen, die anfangs vielleicht gar nicht angedacht waren. Zudem liegt bei OSS der Fokus vermehrt darauf, die Programme mit möglichst vielen Systemen kompatibel zu machen.

Das sind nur einige der vielen Gründe, warum die Nutzung von OSS in Zukunft vermutlich nicht zurückgehen wird. Doch Informatiker hoffen, dass ihre Arbeit künftig stärker gewürdigt wird – auch finanziell.

Lesermeinung

6 Beiträge anzeigen

Wir freuen uns über Ihre Beiträge zu unseren Artikeln und wünschen Ihnen viel Spaß beim Gedankenaustausch auf unseren Seiten! Bitte beachten Sie dabei unsere Kommentarrichtlinien.

Tragen Sie bitte nur Relevantes zum Thema des jeweiligen Artikels vor, und wahren Sie einen respektvollen Umgangston. Die Redaktion behält sich vor, Leserzuschriften nicht zu veröffentlichen und Ihre Kommentare redaktionell zu bearbeiten. Die Leserzuschriften können daher leider nicht immer sofort veröffentlicht werden. Bitte geben Sie einen Namen an und Ihren Zuschriften stets eine aussagekräftige Überschrift, damit bei Onlinediskussionen andere Teilnehmer sich leichter auf Ihre Beiträge beziehen können. Ausgewählte Lesermeinungen können ohne separate Rücksprache auch in unseren gedruckten und digitalen Magazinen veröffentlicht werden. Vielen Dank!

Partnerinhalte