IT-Security : Open Source. Keine Bastlerei mehr

Es ist kurz vor Weihnachten und viele IT-Verantwortlichen wähnen sich schon in den Ferien. Eine Java-Schwachstelle durchkreuzt die Pläne. Log4j bestimmt mehrere Wochen die Diskussionen. Java in der Industrie? Es gibt zunächst mal Entwarnung: Komplette Industriesteuerungen bestehen in der Regel aus mehrstufigen Prozessketten, die auf einer Vielzahl von Technologien und Systemen aufsetzen. Bei den industriellen SCADA-Komponenten, welche direkt mit den Produktionsanlagen kommunizieren wird man in der Regel weniger Java-Komponenten und daher log4j Angriffsfläche vorfinden. Komplette Prozessketten, die zur erfolgreichen Produktion von Gütern jedoch unabdingbar sind, stehen oftmals schlechter da. Java wird im Enterpriseumfeld auch im Jahr 2021 noch sehr aktiv verwendet und auch der TIOBE Index führt Java im Dezember 2021 auf Rang Nummer Drei der beliebtesten Programmiersprachen.

„Hier können durchaus anfällige log4j-Instanzen vorhanden sein, oftmals ohne das Wissen der Betreiber, da viele Softwarekomponenten von Dritten geliefert werden und daher nicht unter dem direkten Einfluss der leidtragenden Opfer sind“, erklärt Christopher Bleckmann-Dreher, IT Security-Experte aus Deutschland. Und er gibt auch für die nahe Zukunft keine Entwarnung: „Diese log4j-Schwachstelle wird uns noch Jahre verfolgen. Bei log4j handelt es sich um eine Bibliothek zur Protokollierung von Ereignissen und Zuständen im Java-Code. Man könnte sagen, log4j ist eine der meistbenutzten Bibliotheken im Java-Umfeld, wenn es um das Thema Protokollierung und Logging geht. Und hier liegt zugleich das Problem zugrunde, warum uns dieses Debakel noch eine unabsehbare Zeit verfolgen wird. Wo und in welchen Abhängigkeitsverhältnissen diese anfälligen log4j Bibliotheken in den Softwarekomponenten tief vergraben sind, ist zum aktuellen Zeitpunkt noch vielerorts absolut unklar“.

Bleckmann-Dreher und seine Kolleginnen und Kollegen registrierten schon seit Bekanntwerden der Schwachstelle am Donnerstag den 9.12., ansteigende Angriffskampagnen über das gesamte Internet hinweg. „Inzwischen haben auch Ransomware den enormen Wert dieser Schwachstelle für sich erkannt. Die Vergangenheit hat gezeigt, dass erfolgreiche Ransomwaregruppierungen gerne ihren finalen Angriff und die Erpressung so planen, dass das Opfer möglichst langsam reagieren kann und – Bingo – das anstehende Weihnachtsfest und die darauffolgenden Urlaubstage würden sich da doch besonders gut anbieten.“ Das Schadenspotential sei enorm, ist sich Bleckmann-Dreher sicher: „Ein nicht authentifizierter Angreifer ist durch einen einzigen Aufruf in der Lage, direkt Befehle bzw. seinen bösartigen Schadcode zur Ausführung zu bringen. Diese Schwachstelle ist so mächtig, dass ein Angreifer auf einmal alle Schutzziele (Vertraulichkeit, Integrität und Verfügbarkeit) komplett verletzten kann. Innerhalb von 10 Tagen haben wir schon fast alles gesehen, was Cyberkriminelle tun, um damit Profit zu machen. Unterschiedliche Cryptominer, rivalisierende Botnetze und jetzt eben auch noch die Ransomewaregruppierungen. Kurz gesagt, diese Schwachstelle bietet einem Angreifer eine fast schon luxuriöse Hintertür über die Schwelle der Unternehmensnetzwerk hinweg. Und hier kommt es dann darauf an, wie ernst es ein Unternehmen mit seiner Netzwerksicherheit meint. Im besten Fall ist hier für den Angreifer schon sein ein jähes Ende nahe, da man sich gut vorbereitet hat. Im Bewusstsein, dass diese Art von Softwareangriffen immer passieren kann. Ausgehende Netzverbindungen können hier sehr restriktiv überwacht und blockiert werden und schon funktioniert der vollständige Angriff über die log4j Schwachstelle nicht mehr.“

Für Julian Feinauer von Pragmatic Industries ist die log4j-Schwachstelle ein Paradebeispiel für die Kultur und den Umgang in der Open Source Community. „Damals waren sofort die Kritiker am Start und eben auch viele Unternehmen, die meckerten: Ah, war ja klar, den Open Source Leuten ist man komplett ausgeliefert. Aber die Community hat sehr schnell Abhilfe geschaffen. Das wurde gerne übersehen, denn bei proprietärer Software dauert es oft sehr viel länger.“ Abhilfe ja, aber die dauert. „Oftmals wurde die Software eingekauft und kann daher selbstständig nicht gepatched werden oder noch schlimmer, man weiß gar nicht, dass man sich durch die externe Softwarebeschaffung die Lücke ins Haus geholt hat. Die Hersteller von industriellen Steuerungskomponenten sind in der Regel auch nicht für ihre Agilität bekannt, so können die Aktualisierungsvorhaben durchaus mal länger dauern, nicht zuletzt wegen der strikten Testvorgaben und dem hohen Grad an Abhängigkeiten zum Gesamtsystem“, gibt Bleckmann-Dreher zu Bedenken.

Doch Feinauer fokussiert mit seiner Kritik an den Unternehmen ein anderes Open Source Thema, das die Community in Aufregung versetzte. Der Mathematiker spielt auf den zuletzt bekanntgewordenen Fall aus den USA an, bei dem ein Entwickler aus Frust seinen Quellcode gelöscht hat, beziehungsweise einen neuen, veränderten Code generierte, der viele Anwendungen unbrauchbar machte. Frustrierte Open-Source-Entwickler stellen auch ein Risiko für die Industrie dar. Der Mann hatte einige private Probleme und bat auf seinem Account um Unterstützung. Kaum ein Unternehmen wollte ihn unterstützen, obwohl viele Firmen seit Jahren von den Bibliotheken finanziell profitieren. „Die haben sich auf das Modul verlassen. Der Hobbyentwickler war in einer Ausnahmesituation, bat um Unterstützung und kaum jemand wollten ihm helfen“, berichtet Feinauer. Der Unternehmer ist sich sicher: Wir brauchen monetäre Anerkennung, aber es hapert auch an den Umgangsformen in den Communities. „Unternehmen treten teils sehr dominant auf und fordern von freien Hobbyentwicklern schnelle Anpassungen. Der Ton macht die Musik und der ist oft rau und sehr fordernd.“ Zwar sei Open Source nicht mehr nur eine Hobby-Bastlerei, aber der Anteil freier Hobbyentwickler sei immer noch groß. Aus seiner Sicht steht Open Source Software am Scheideweg: Corporate vs. Humans oder schaffen beide ein Miteinander? Open Source sei ein bisschen wie Kultur, meint Feinauer. „Wir müssen uns Open Source als Gesellschaft leisten.“