Die Sicherheitslücke Log4Shell zeigt, wie wenig die heutige Praxis des Software-Engineerings der immensen Bedeutung der IT-Systeme als Backbone der weltweiten Wirtschaft gerecht wird. VOICE fordert eindringlich, dass umgehend Maßnahmen für eine fundamentale Behebung der Missstände angegangen werden.
Ein simpler Fehler in der weltweit verwendeten Library Log4J löste am 10.12.2021 einen globalen Alarmzustand in der IT-Welt aus. Wie schon bei Proxylogon hat ein für wenige hundert Dollar vermeidbare Schwäche im Programmkode weltweit einen Tsunami in den Rechenzentren ausgelöst, mit atemlosen Analysen, Krisensitzungen, ängstlichen Patchvorgängen und zahllosen schlaflosen Nächten. „Die Wirtschaft hat sich voll auf die Digitalisierung aller Geschäftsprozesse eingelassen, ist vollständig von ihr abhängig und die Softwareanbieter arbeiten noch auf den tönernen Füssen einer völlig veralteten und bzgl. der Herkunft wichtiger Softwaremodule völlig intransparenten Struktur“, sagte Dr. Hans-Joachim Popp, stellvertretender Vorsitzender des VOICE-Präsidiums, „so als würde man in die Bremsen eines Autos aus der Großserie ein Bauteil unbekannter Herkunft ungeprüft einbauen und dann darüber noch nicht einmal Buch führen.“
VOICE fordert Rückverfolgbarkeit wie bei Lebensmitteln
VOICE fordert wirksame Maßnahmen, um die Verwendung hinzugekaufter oder freier Softwarebibliotheken lückenlos und jederzeit rückverfolgen zu können, so wie das in der Lebensmittelbranche längst üblich ist. Verwendet ein Hersteller Module, deren Urheber keine Gewährleistung übernehmen können oder wollen, so muss der Verwender selbst diese Pflicht übernehmen. Der Gesetzgeber muss hier einen klaren Anreiz für Sicherheit und Qualität schaffen.
„Wir erneuern unsere Forderung nach einer Haftungskette für Software-Stacks. Wer sich als Anbieter auf fremde Software stützt, der muss auch dafür sorgen, dass dies durchgehend dokumentiert ist und er muss leicht nutzbare Update-Mechanismen bereitstellen“, so Dr. Popp, „Es kann nicht angehen, dass Millionen von Administratoren ihre Rechner nach bestimmten Schlüsselbegriffen durchsuchen müssen, dann im Unklaren darüber sind, ob in ihrem Fall der Fehler wirklich zum Tragen kommen kann und letztlich aufgrund der Unsicherheit ihre Systeme vom Netz nehmen müssen. Volkswirtschaftlich gesehen wird hier Geld regelrecht verbrannt. Würde man die Kraft in die Qualität des Codes investieren, dann wäre nur ein kleiner Bruchteil davon nötig.“
Updates müssen Schwachstellen vollständig beheben
Die lückenlose Dokumentation auf einander aufbauender Softwaremodule unterschiedlicher Herkunft ist im Bereich hochsicherer Software schon lange fester Bestandteil der Qualitätssicherung. Bei einem extremen Verbreitungsgrad wie im Fall von Log4J ist dies mehr als gerechtfertigt. Hinzukommen muss aber die Verpflichtung, die Updates zur vollständigen Behebung der Schwachstellen schnell und aufwandsarm einspielen zu können.
„Die Softwareentwickler, ob kommerziell oder im Open-Source-Umfeld, müssen endlich ihrer enormen Verantwortung gerecht werden. Und die Anwender müssen diese Verantwortung aktiv einfordern. Sonst steht bald das öffentliche Leben still, weil ein übernächtigter, unentgeltlich arbeitender Einzelkämpfer ein Komma an der falschen Stelle gesetzt hat“, hält Dr. Popp fest.