Editorial: Einsame Verantwortung

Vergleichsweise wenige Entwickler schreiben Freeware für Millionen von Anwendern: So konnte die Log4j-Lücke so lange unerkannt bleiben

Von Kai Petzke

Server von Strato Tausende von Servern - auf vielen davon war (oder ist noch) der Log4j-Bug zu finden
Foto: Strato Letzte Woche war es mal wieder so weit: "Alarmstufe rot" für Millionen von Serverbetreibern, weil in einer von zahlreichen Programmierern verwendeten Hilfssoftware ein schwerer Bug steckte: Log4j dient dazu, Informationen über Fehler und andere Ereignisse zu protokollieren. Fehler können dabei sowohl lokal als auch auf einem entfernten Server gesammelt werden. Und die protokollierte Fehlermeldung selber kann Tags enthalten, die von Log4j automatisch durch einen Wert ersetzt werden. Das ist praktisch, um Programmversionen, Zeitstempel und ähnliche Informationen zu sammeln. Es ging aber bei Log4j so weit, dass so ein Tag Java-Code von einem externen Server nachladen und ausführen konnte. Das Ergebnis der Ausführung wurde dann geloggt.

Nun ist Logging normalerweise ein interner Dienst, der sich nicht direkt von extern erreichen lässt. Aber viele Anwendungen loggen auch Fehler, die durch Nutzereingaben entstehen. Teil dieser Loggings sind dann meist auch die Nutzereingaben, die zum Fehler geführt haben. Wird dann die Nutzereingabe nicht so gesichert (die Informatiker sprechen von "escaped"), dass Log4j nicht mehr seine eigenen Tags erkennt, dann ist der Exploit perfekt. Die Einfachheit von Log4j macht auch dessen Missbrauch so einfach.

Log4j ist nur eins von 350 Projekten

Server von Strato Tausende von Servern - auf vielen davon war (oder ist noch) der Log4j-Bug zu finden
Foto: Strato Log4j ist eines der vielen Tools, mit denen die Apache Foundation das Leben von Programmierern weltweit einfacher macht. Ihr berühmtestes und wichtigstes Produkt ist der Apache Webserver, der die Inhalte von Abermillionen Websites weltweit ausliefert - auch die von teltarif.de. Zwar sind die Zeiten vorbei, in denen der Apache Server 80 oder 90 Prozent Marktanteil hatte: Mit nginx gibt es einen starken Konkurrenten und immer mehr Websites werden über eingebettete Webserver direkt aus einer Applikation heraus ausgeliefert. Dennoch hat die Apache Foundation durch freiwillige Spenden von Apache-Nutzern so viel Geld eingenommen, dass sie inzwischen über 350 Projekte verwaltet. Eines davon ist auch Log4j.

Auch, wenn die Apache Foundation in der Freeware-Welt vergleichsweise gut finanziert ist - üppig ist ihr Budget im Vergleich zu Microsoft, Apple und Google definitiv nicht. Und so passiert es auch ihr, dass ihr Fehler durchrutschen oder sie den sicheren Gebrauch ihrer Produkte nicht ausreichend genau dokumentiert. Denn kleinere Projekte wie Log4j werden am Ende von nur wenigen Programmierern verwaltet. Die vielen Millionen Nutzer machen sich hingegen nicht die Mühe, nach Fehlern oder Exploits zu suchen. Sie gehen davon aus, dass die übernommenen Anwendungen reibungslos funktionieren.

Andererseits: Im Vergleich zu den vielen "Remote Code Executions", die immer wieder in Windows, iOS und Android auftauchen, steht Apache wirklich blendend da. Der Unterschied ist nur, dass Server-Betreiber dieses Mal nicht das Betriebssystem, sondern die Anwendungen upgraden müssen, was vom Prozess her meist komplizierter ist. Zudem lassen sich von einem kompromittierten Server oft deutlich mehr Daten stehlen als von einem gehackten privaten Windows-PC. Steuererklärungen und Kündigungsschreiben sind für die Gauner im Internet dann halt doch weniger interessant als Nutzerdatenbanken mit Millionen von Kreditkarteninformationen.

Weitere Editorials

31.03.24 - Editorial: Die klare Strategie fehlt bei Sky
03.12.23 - Abschaltdatum für DSL 2032: Chancen und Risiken
22.10.23 - Editorial: Diskussion um UKW-Abschaltung völlig unnötig
15.10.23 - Editorial: Darum muss das Handy zwingend geschützt sein
25.06.23 - Editorial: Das muss bei der eSIM künftig besser laufen
29.05.23 - Glasfaser: Angst vor strategischem Überbau
16.04.23 - Warum ein Ende von DVB-T2 HD fahrlässig wäre
19.03.23 - Editorial: Warum Amazon gegen Roku und Google gewinnt
05.03.23 - Editorial: freenet wirft Kunden Tarifwechsel-Faulheit vor?
12.02.23 - Editorial: Kurswechsel bei RTL unausweichlich
15.01.23 - Mobilfunk: Mehr Wettbewerb ist nötig
01.01.23 - Editorial: Trotziger 1&1-Netzstart - Enttäuschung zu erwarten
18.12.22 - Editorial: Bringt Werbung für Disney+ die Wende?
06.11.22 - Editorial: Prime Music kaputt - Amazon als Kulturbanause?
23.10.22 - Editorial: Huawei - Technik vs. Politik
25.09.22 - Editorial: Wende im Mobilfunkmarkt?
18.09.22 - Editorial: Alles muss vernetzt sein?
31.07.22 - Editorial: Wer braucht noch Fernsehen?
24.07.22 - Editorial: Viel Wind um "Nichts"
18.07.22 - "Gemeine Schnittstellen": Zusätzliche Abwehrstrategien geboten
19.06.22 - Editorial: Warum findet die BNetzA teure Drossel-Tarife toll?
12.06.22 - Editorial: StreamOn- & Vodafone-Pass-Ersatz? Das war nix!
05.06.22 - Editorial: Gebrauchtes Handy? Ja, aber bitte neue Software!
22.05.22 - Editorial: EDGE statt 5G SA - Realität vs. Vodafone-Werbung
15.05.22 - Editorial: Streit um UHF-Frequenzen - Kompromisse möglich
01.05.22 - Nach StreamOn-Aus: Die harte Daten-Drossel muss weg
19.04.22 - Neuer Vodafone-Chef: Zeit für echten Wandel?
27.03.22 - Editorial: Es gibt keine Höhepunkte mehr
20.03.22 - Vier Netze in Deutschland: Wie lange wird das so bleiben?
06.03.22 - Editorial: Wir brauchen eine neue Bundesnetzagentur
27.02.22 - Editorial: Wann kommt das nächste große Ding?
20.02.22 - Editorial: Wer zahlt?
13.02.22 - Editorial: Drohen ja, abschalten nein
06.02.22 - Editorial: Integrieren statt Abschalten
30.01.22 - Editorial: Längere Smartphone-Lebensdauer!?
23.01.22 - Editorial: 5G verhindert Chemtrails
16.01.22 - Editorial: App statt Bank!?
09.01.22 - Editorial: 600 Millionen Euro Verlust!?
02.01.22 - Editorial: Weg von Weihnachten!
26.12.21 - Editorial: Zahlen wird teurer

Log4j ist nur eins von 350 Projekten

Weitere Edito­rials

Weitere Editorials