Nach Log4j: Warum Open-Source-Projekte nachhaltig werden müssen
Software von Freiwilligen steckt in kritischer Infrastruktur des Netzes. Es wird Zeit, dass deutlich mehr Mittel der Tech-Konzerne fließen.
(Bild: Vinicius Marques / Unsplash)
- Patrick Howell O'Neill
Momentan arbeitet Volkan Yazici 22 Stunden pro Tag – ohne dafür nur einen einzigen Cent zu sehen. Der Programmierer ist Mitglied des Log4j-Projekts, eines weit verbreiteten Open-Source-Werkzeugs zur Aufzeichnung von Nutzeraktivitäten, den sogenannten Logs, in zahlreichen Softwarepaketen. Log4j steckt in Infrastruktur, die sich in großen Teilen wichtiger Internet-Anwendungen befindet – von iCloud über Amazon-Dienste bis hin zu Twitter. Und Yazici und seine Kollegen versuchen gerade verzweifelt, eine massive Sicherheitslücke in ihrer Software zu schließen, durch die Abermillionen von Systemen gefährdet sind.
Lesen Sie auch
Der Code, für den ich mich immer noch schäme
Die Schwachstelle in Log4j lässt sich extrem leicht ausnutzen. Nachdem sie eine bösartige Zeichenkette an einen anfälligen Server gesendet haben, können Hacker darauf jeden beliebigen Code ausführen. Einige der ersten Angreifer waren Scriptkiddies, die Malware in Minecraft-Server einfügten. Hacker, von denen einige laut Regierungskreisen mit China und dem Iran in Verbindung gebracht werden, versuchen mittlerweile, die Schwachstelle auf jedem Server auszunutzen, auf dem der fehlerhafte Code läuft.
Eine Sicherheitskrise mit offenem Ausgang
Und es ist kein Ende in Sicht. Das Log4j-Problem stellt eine langfristige Sicherheitskrise dar, die noch Monate oder Jahre andauern kann. Jen Easterly, die Direktorin der US-Behörde für Cyber- und Infrastruktursicherheit, sprach von einer der schwerwiegendsten Schwachstellen, die sie jemals gesehen hat. Bei diesem Ausmaß könnte man eigentlich erwarten, dass die größten Technologieunternehmen und Regierungen der Welt Hunderte von hoch bezahlten Experten beauftragen, um das Problem schnellstmöglich zu beheben.
Die Wahrheit ist jedoch eine andere: Log4j, das seit langem ein wichtiger Bestandteil der zentralen Internet-Infrastruktur ist, wurde als quelloffenes Freiwilligenprojekt gegründet und wird immer noch weitgehend unbezaht vorangetrieben, obwohl viele Millionen- und Milliarden-Dollar-Unternehmen darauf angewiesen sind und jeden Tag von der Open-Source-Software profitieren. Yazici und sein Team versuchen also nun, sie quasi zum Nulltarif zu reparieren. Nachhaltigkeit sieht anders aus.
Diese seltsame Situation ist Routine in der Open-Source-Welt – Programme, deren Code von jedermann eingesehen, verändert und verwendet werden kann. Es handelt sich um eine jahrzehntealte Idee, die für das Funktionieren des Internets entscheidend ist. Wenn es gut läuft, ist Open Source ein Triumph der freiwilligen Teamarbeit. Wenn etwas schief geht, kann solche Software zu einer weitreichenden Gefahr werden – nicht wegen der Quelloffenheit, sondern wegen zu geringer Ressourcen. "Open Source steuert das Internet und damit auch die Wirtschaft", sagt Filippo Valsorda, ein Entwickler, der bei Google an Open-Source-Projekten arbeitet. Und doch, so erklärt er, sei es selbst bei Kerninfrastrukturprojekten äußerst üblich, dass es "ein kleines Team von Betreuern oder sogar nur einen einzigen Betreuer gibt, der nicht für die Arbeit an seinem Projekt bezahlt wird".