Log4Shell, das BSI und die Software-Lieferkette
Ein paar Anmerkungen zu meinem heise-online-Artikel vom Dienstag.
Am Dienstag habe ich einen Bericht über einen Online-Workshop des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei heise online geschrieben:
→ Log4Shell: Open Source als Gefahr für die Software-Lieferkette
Interessanterweise waren viele Leser wohl der Auffassung, dass dieser Artikel ein Angriff auf Open-Source-Software oder Open-Source-Entwickler darstellen sollte. Jeder der mich und meine Vergangenheit ein bisschen kennt weiß, wie lachhaft diese Einschätzung ist, aber das kann man ja schließlich von den meisten ho-Lesern nicht erwarten. Und dieser Tage überrascht es mich angesichts des Blödsinns, den viele meiner Kollegen tagtäglich schreiben, auch nicht, dass Leser eine Intention in Texte hineindichten, welche diese, rein objektiv betrachtet, nicht hergeben. Deswegen möchte ich an dieser Stelle kurz folgende Anmerkungen zu diesem Artikel loswerden:
-
Die meisten in dieser Meldung beschriebenen Probleme mit Open-Source-Software betreffen auch proprietäre Software. Sie haben, in vielen Fällen, dort sogar viel schlimmere Auswirkungen, da Firmen Schwachstellen in ihrem Code – und oft auch die daraus entstehenden Konsequenzen – geheim halten können.
-
Was mich allerdings bei dem Vertreter des Log4j-Projektes überrascht hat, war die Naivität, mit der er vor der Log4Shell-Lücke an Sicherheitsfragen herangetreten ist. Bei einer Middleware, die in einer solch überwältigenden Vielzahl von Produkten zum Einsatz kommt, hätte ich das ehrlich gesagt nicht erwartet. Und ich glaube auch, dass eine derartige Einstellung zumindest in größeren Firmen seltener ist, da es dort in der Regel Rechts- und PR-Abteilungen gibt, die für etwaige Folgen, die aus derart naivem Verhalten erwachsen können, sensibilisiert sind. Hier würde es Open-Source-Entwicklern durchaus gut tun, sich zu professionalisieren. Das ist aber kein Angriff gegen diesen Entwickler oder das Log4j-Projekt an sich, ich war einfach nur überrascht. Und ich denke, dass die Entwickler nach Entdeckung der Lücke mit diesem Problem vorbildlich umgegangen sind. Wirklich schwerwiegende Folgen sind aus dieser, laut so manchem Pressekollegen, schlimmsten Sicherheitslücke aller Zeiten im Endeffekt ja auch nicht entstanden.
-
Was mich aber vor allem überrascht hat, war die Einstellung der anwesenden BSI-Mitarbeiter zu der ganzen Thematik – was auch der Grund dafür ist, dass die letzten zwei Abschnitte des Artikels entsprechend editorialisieren. Obwohl dies ein eher informeller Workshop war, war die Veranstaltung dennoch öffentlich und fand unter der Ägide einer Bundesbehörde statt. Und da hat es mich dann doch verwundert, dass zwar heftig die Werbetrommel für das Sicherheitsbewusstsein der Apache Software Foundation (Log4j ist ein ASF-Projekt) und die Dienstleistungen der Open Source Security Foundation gerührt wurde, aber umso weniger auf die gesamtgesellschaftlichen Folgen eingegangen wurde. Alle waren sich einig, dass Open-Source-Software überall gegenwärtig ist und einen wichtigen Anteil fast aller Software-Lieferketten darstellt. Und dass es dabei offensichtliche Probleme gibt – siehe Log4Shell. Und bei einer offiziellen BSI-Veranstaltung hätte ich mir deswegen schon ein paar Erkenntnisse dazu gewünscht, was der Plan des BSI ist, um dieses Problem anzugehen – wenigstens so weit wie das auf deutschem Boden machbar ist. Ich habe auch mehrmals versucht, die Diskussion im Chat in diese Richtung zu leiten. Leider ging keiner der Redner auf diese Versuche ein.
Am Ende wurde für einen externen Beobachter wie mich einfach nicht klar, was der Sinn dieser Veranstaltung am Ende sein sollte. Vielleicht davon abgesehen, Werbung für die Open Source Security Foundation zu machen. Nach den ausgiebigen, und zum Teil sehr übertriebenen, Presseberichten zur Log4Shell-Lücke ist eine weitere Sensibilisierung zu diesem Thema ja wohl kaum nötig. Was bleibt, war der Eindruck, dass wir einen gesamtgesellschaftlichen Ansatz brauchen, um das Problem von Sicherheitsdefiziten in einem sehr wackeligen Software-Stack zu lösen, auf dem wir gerade die gesamte Zukunft unserer Gesellschaft aufbauen. Große Teile dieses Stacks sind Open-Source-Software und es scheint als brauchen wir dringend einen Plan, diese besser abzusichern und beteiligte Entwickler zu professionalisieren. Die Open Source Security Foundation alleine kann das nicht stemmen und sie sollte es auch nicht müssen. Zumal das Problem den proprietären Teil des Stacks genauso, oder vielleicht sogar noch mehr, betrifft.
Ich sehe an dieser Stelle ganz klar die Politik – inklusive von Bundesbehörden wie dem BSI – in der Pflicht. Denn wenn ich aus Berlin und Bonn tagtäglich höre, wie sehr unsere Gesellschaft dringend überall digitaler werden soll (oder sogar muss), dann will ich von diesen Leuten auch wissen, wie wir so etwas sicher bewerkstelligen können.