Bald ist Weihnachten und ganz Deutschland bereitet sich auf den letzten Urlaub in diesem Jahr vor. Ganz Deutschland? Nein, ein paar Menschen in diesem Land haben auf den sog. „letzten Metern“ noch mal richtig Arbeit beschert bekommen. Gemeint sind hier Incident Response Teams, IT-Administratoren und IT Security Spezialisten. Denn quasi aus dem nichts heraus überraschte die Log4j Schwachstelle, die laut Forschern bereits seit dem Jahr 2013 existiert, viel Personal in den oben genannten Bereichen. Denn diese Schwachstelle wurde vom BSI in die Kategorie rot eingestuft und wird mittlerweile auch von zahlreichen Hackern aktiv ausgenutzt.
Eine wichtige Handlungsempfehlung lautet, auf die log4j-2.17 Version upzudaten. Womit leider auch mal wieder klar ist, dass es sich (unter anderem wieder einmal) um ein Patchproblem handelt. Wieder einmal deswegen, weil auch die Exchange Schwachstellen in der letzten Zeit hätten verhindert werden können, wenn IT-Administratoren Ihren Aufgaben nachgekommen wären und die Systeme auf dem jeweils neusten Patch-Stand gehalten hätten. Stattdessen sieht die bittere Realität leider so aus, dass immer noch weltweit viele Exchange Server über die bekannten Schwachstellen angreifbar sind.
Die Causa „Log4j“, die jetzt schon das Potenzial hat, einer der schädlichsten Cybersicherheitsvorfälle der letzten Zeit zu sein, zeigt aber auch noch eine ganz andere Schwachstelle auf, die bisher wenig Beachtung gefunden hat, weil sie sich doch im Internet großer Beliebtheit erfreut: Open Source Software. „Log4j“ wird von einer Gruppe freiwilliger (und unbezahlter) Programmierer als Teil der gemeinnützigen Apache Software Foundation verwaltet und dementsprechend gepflegt.
Um zu verstehen, was Open Source Software so gefährlich macht, muss man erst einmal verstehen, wie Open Source Software überhaupt funktioniert:
Bei Open Source handelt es sich um Code, der der gesamten Öffentlichkeit (= dem gesamten Internet) zugänglich ist. Das heißt, jeder kann ihn anzeigen sowie nach Belieben verändern und verteilen. Open Source-Software wird dezentral und kollaborativ entwickelt und stützt sich auf Peer-Review und Community-Produktion. Oftmals ist diese Software günstiger als proprietäre Produkte und wird in der Community auch gerne als langlebiger angepriesen, weil sie nicht von einem einzelnen Programmierer oder Unternehmen, sondern in Communities entwickelt wird. Open-Source-Bibliotheken sind heute die Grundlage für jede Anwendung in jeder Branche. Es ist so weit verbreitet, dass viele Codebesitzer nicht alle Open-Source-Komponenten in ihrer Software kennen, weil eben auch nicht nachgehalten werden kann, wo diese Codeschnipsel überall verwendet wurden.
Doch genau hier setzt eben auch die Problematik an. Da die Nutzung von Open Source zugenommen hat, hat leider auch die Anzahl der Schwachstellen zugenommen. Gegenüber dem Vorjahr verzeichnet man einen Anstieg der Schwachstellen um 9 %. Dieser Trend deutet darauf hin, dass in jeder Branche immer mehr Software gefährdet ist. Weil eben nicht genau nachvollzogen werden kann, wo der Code überall eingesetzt wurde, kann es dann sein, dass eine Schwachstelle zwar durch den ursprünglichen Programmierer in der ursprünglichen Bibliothek, wo der Code erstmalig veröffentlicht wurde, gefixt wurde, durch die zahlreichen Implementationen aber in unterschiedlicher Software (z.T. auch kommerzieller Software) ist es schier unmöglich, all diese Software vollumfänglich zu patchen, um so die Schwachstelle zu beheben.
In Zahlen dargestellt liest sich das Security Problem bei Open Source Software dann so laut dem offiziellen Bericht von Synopsis so:
Von über 1.250 Open Source Anwendungen enthalten 91 Prozent veraltete Komponenten. 9 von 10 dieser Komponenten sind mindestens 4 Jahre alt und wurden in den letzten 2 Jahren nicht weiterentwickelt. Von den besagten 1.250 Anwendungen beinhalten 75 Prozent bekannte Schwachstellen. Fast 50 Prozent davon sind als sehr riskant eingestuft. Der Anteil bekannter Schwachstellen ist gegenüber dem Vorjahr um 15 Prozent gestiegen. Zwei Drittel der analysierten Anwendungen führen zu Lizenz-Konflikten und bei einem Drittel ist die Lizenz nicht eindeutig identifizierbar.
Zusammenfassend kann man also sagen, dass man zwar weniger für Open Source Software zahlt, man aber mit dem günstigeren Preis auch eine tickende Zeitbombe einkauft, wie Log4j eindrucksvoll jetzt bewiesen hat. Rechnet man die entstandenen Schäden und die damit verbundenen Kosten, diese zu beheben, zusammen und setzt man demgegenüber den ggf. günstigeren Preis der Open Source Software, dann muss man kein Orakel sein, um zu behaupten, dass der Einsatz einer etablierten Software, die ggf. auch unter dem Aspekt Secure Code entwickelt wurde, rentabler gewesen sei. Gleichzeitig muss man aber auch mahnend erwähnen, dass etablierte Hersteller ebenfalls besser darauf achten sollten, welchen Code sie in ihre Programme einbauen und darauf verzichten sollten, Open Source Code in ihre ansonsten hervorragenden Programme einzubauen. Denn sonst werden wir immer wieder digitale Katastrophen, wie es die momentane Log4j-Situation hervorgebracht hat, erleben.
Disclaimer: Der vorliegende Beitrag gibt ausschließlich die persönliche Meinung des Autors wieder.
Quellen:
Log4j: Inside the race to fix a potentially disastrous software flaw (livemint.com)
Was ist Open Source? (redhat.com)
[Analyst Report] 2021 Open Source Security and Analysis Report | Synopsys