Seit vergangenem Wochenende steht das "Internet in Flammen". So hat Adam Meyers, Vizepräsident der Cybersicherheitsfirma Crowdstrike, die massive Sicherheitslücke in der Java-Bibliothek Log4j kommentiert. Die Lücke in diesem Tool, das Server-Aktivitäten protokolliert, erlaubt im Extremfall, dass Angreifer das System übernehmen. Und es hat bereits zahlreiche Angriffe gegeben.
Log4j ist eine quelloffene Software der Apache Software Foundation, betreut wird sie ehrenamtlich von drei Software-Architekten, die dafür von einigen wenigen Leuten ein bisschen Geld gespendet bekommen.
Große Last auf kleinen Schultern
Im Netz verbreitet sich dieser Tage rasant ein Comic, der die Problematik auf den Punkt bringt: Die ganze digitale Infrastruktur ruht unter anderem auf einem kleinen dünnen Stab, neben dem steht: "Ein Projekt, das eine x-beliebige Person in Nebraska seit 2003 pflegt, ohne dass sie dafür Dank erhält". Und dieses Projekt steht gerade sinnbildlich für die drei Männer, die sich um die Log4j-Bibliothek kümmern.
Der Comic "Dependency" zeigt, wie sehr die digitale Infrastruktur von kleinen ehrenamtlichen Projekten abhängt
Nun fragen sich viele Leute: Wie kann es sein, dass ein Programmcode, der weltweit in hunderten Millionen Anwendungen zum Einsatz kommt, von einer Handvoll ehrenamtlicher Entwickler betreut wird?
Zunächst einmal ist das gar nichts so Ungewöhnliches. Denn viele Basiskomponenten des Netzes sind als Open-Source-Projekte entwickelt worden und werden in unzähligen Programmen eingesetzt. Die Software-Hersteller greifen auf solche Komponenten zurück, um nicht immer alles neu entwickeln zu müssen.
Fehler werden in Open-Source-Software leichter entdeckt
Darüber hinaus hat Open-Source-Software den Vorteil, dass ihr Quellcode eben öffentlich eingesehen werden kann. Dabei können Fachleute Fehler entdecken und sie korrigieren. Und dass sich in Open-Source-Software so gefährliche Lücken auftun wie jetzt bei - bestimmten Versionen - der Programmbibliothek Log4j geschehen, ist die große Ausnahme.
Bei proprietärer Software wie zum Beispiel Microsoft Office hat nur das Unternehmen selbst Zugriff auf den Code. Auf der anderen Seite sind die Sicherheitschecks bei Software-Herstellern professioneller und finden auch regelmäßig statt, weil es dafür eigenes Personal gibt. Und bei Open-Source-Software ist diese Qualitätskontrolle eben nicht so institutionalisiert.
Ruf nach finanzieller Unterstützung für ehrenamtliche Entwickler
Deswegen gibt es nun einige Stimmen, die nach größerer Unterstützung rufen. Und das sollten nicht nur mehr Spender für die freiwilligen Software-Entwickler sein, die sich um Log4j kümmern (in der Tat ist die Zahl der Spender von Ralph Goers in den letzten Tagen von 3 auf mehr als 90 gestiegen…)
Welche Vorschläge gibt es konkret? Häufig zu hören ist die Forderung, dass die Industrie bzw. Unternehmen, die in ihren Produkten Open-Source-Code verwenden den Geldbeutel aufmachen sollen, etwa um:
- … Software-Betreuern “eine signifikante Summe” für ihre Arbeit bezahlen - mehr, wenn diese nur für das eine Unternehmen tätig sind, weniger, wenn die Betreuer auch für andere Unternehmen Wartungsarbeiten erledigen. So schlägt es Google-Ingenieur Filippo Valsorda in seinem Blog vor.
- … Open-Source-Teams zu finanzieren , die sich um nicht mehr als drei oder vier Projekte kümmern, ein Vorschlag von Dan Lorenc, Gründer der IT-Sicherheitsfirma Chainguard.
- … auf Open-Source spezialisierte Stiftungen, wie die Apache-Stiftung (von der Log4j stammt) oder die Linux-Stiftung besser zu finanzieren, damit diese mehr Entwickler beschäftigen können
Die Idee hinter all diesen Vorschlägen: mehr Professionalisierung bei der Wartung von Open-Source-Software.
Aus Deutschland kommen hingegen eher Vorschläge, die hier die öffentliche Hand in der Pflicht sehen. So ist die Log4j-Panne Wasser auf die Mühlen der NGO Open Knowledge Foundation (OKFN), die die Bundesregierung auffordert, einen "Sovereign Tech Fund" aufzulegen. Dieser soll "die Entwicklung, Verbesserung und Instandhaltung von Offenen Digitalen Basistechnologien" (wie die Java-Bibliothek Log4j) unterstützen.
Mit 10 Millionen Euro pro Jahr sollen a) Einzelpersonen und kleine Teams, b) kleine und mittlere Unternehmen und Communities und c) Agenturen gefördert werden. So steht es in der Machbarkeitsstudie, die die OKFN im Oktober vorgelegt hat.
Die Idee dahinter: Damit könnte Deutschland ein Stück mehr digitale Souveränität erlangen.
Fiona Krakenbürger, die für die OKFN an der Studie beteiligt war, brachte in einem Twitter-Post das Log4j-Leck und ihre Forderung nach dem Sovereign Tech Fund in einen Zusammenhang:
Ampelkoalition offen für Open-Source-Förderung
Die Chancen dafür stehen gar nicht so schlecht, denn SPD, Grüne und FDP haben sich in ihrem Koalitionsvertrag an verschiedenen Stellen zum Open-Source-Gedanken bekannt.
Zum einen soll es offene Standards für öffentliche IT-Projekte geben. Auch "Entwicklungsaufträge werden in der Regel als Open Source beauftragt", die dabei entstehende Software grundsätzlich öffentlich gemacht werden.
Und auch das Schlagwort der "digitalen Souveränität" findet sich in dem Vertrag wieder, sie soll unter anderem durch das Recht auf Interoperabilität und Portabilität sowie das Setzen auf offene Standards, Open Source und europäische Ökosysteme, etwa bei 5G oder KI erreicht werden.
Es scheint, als ob die OKFN mit ihrer Forderung nach digitaler Souveränität bei der neuen Bundesregierung auf größeres Gehör stößt als bei der alten. Die nächsten Monate werden zeigen, wie sich das in der Praxis auswirkt.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!