Reißt die Log4j Sicherheitslücke das komplette Internet ein? Was kann man überhaupt noch tun?
Diese und viele ähnliche Meldungen überschlagen sich gerade im Internet. Spätestens nachdem das BSI nun eine offizielle Warnung auf der höchsten Stufe ausgegeben hat, ist das Thema auch in den anderen Medien, selbst die Tagesschau berichtet da drüber.
Es gibt genug Berichte über das konkrete Problem, so dass ich hier darauf gar nicht weiter eingehen will. Leider beschäftigen sich die meisten nur mit den Symptomen. Das ist so ähnlich als würde man sich bei einem Einbruch nur das eingeschlagene Fenster anschauen, aber weder die Haustür noch den Keller mit in die Überlegung einbeziehen.
Softwaresysteme sind komplex und haben eine Vielzahl von Abhängigkeiten, auch bei sorgfältigster Prüfung wird es immer wieder zu Problemen kommen. Was aus meiner Sicht hier das Problem ist, dass niemand Systeme so baut, dass aufkommende Probleme schnell behoben werden können. Wir bei newcubator lassen automatisiert täglich alle verwendeten Abhängigkeiten auf potentielle Sicherheitsupdates (Patches) überprüfen. Dabei prüfen wir nicht nur, ob ein solcher Patch vorliegt, sondern auch, ob mit dieser noch alle Funktionen unserer Software funktionieren. Wir haben hierzu einen automatisierten Test und Release-Prozess gebaut. Dieser ist fast vollständig automatisiert, es ist nicht ungewöhnlich, dass an einem Tag drei oder vier Patches auf diese Art und Weise in unsere Software integriert werden.
Im konkreten Fall war das für uns gar nicht notwendig, da wir Log4J nicht im Einsatz haben (stattdessen verwenden wir ein System namens logback). Wir können natürlich auch nicht garantieren, dass unsere Software so etwas nie ereilt. Da aber (auch in diesem Fall) vor Veröffentlichung schon ein Patch bereitstand, ist es aber zumindest sehr wahrscheinlich, dass von uns verantwortete Systeme schon beim Bekanntwerden der Lücke auf dem aktuellen Stand wären. So verwenden wir beispielsweise auch längst nicht mehr die oft erwähnte Java Version 8 (aus dem Jahre 2014), sondern haben minimal Java 16 im Einsatz. Auch so etwas verursacht Kosten, sowohl in der Umsetzung als auch in der Qualitätssicherung, aber wer versucht Geld zu sparen, wird es später doppelt bezahlen müssen. Ein solcher Prozess ist natürlich aufwändig. Während bei mechanischen Systemen Wartung und Inspektionen selbstverständlich, oft sogar gesetzt vorgeschrieben sind, ist die Bereitschaft in die Wartung von Software zu investieren immer noch gering. Hier werden Systeme oft bis zum "End of Life", vielfach sogar darüber hinaus betrieben. "Never touch a running system" ist nach wie vor die Devise vieler Unternehmen.
Es wird Zeit, dass hier ein Umdenken einsetzt. Wartung und Pflege ist bei Software mindestens genauso wichtig wie bei mechanischen Anlagen. Die großen Betriebssystemhersteller machen es vor und versorgen uns bereits mehr oder minder ungefragt mit Patches und Sicherheitsupdates. Aber auch wir als Software-Hersteller müssen diese Arbeitsweise zur Selbstverständlichkeit machen. Genauso wie ein Elektriker keine Installation ohne aktuelle Absicherung nach Stand der Technik machen wird, liefern wir keine Software aus, die nicht mehr dem aktuellen Stand der Technik entspricht.
