14.12.2021

Warum das Log4J Desaster vorhersehbar war

Reißt die Log4j Sicherheitslücke das komplette Internet ein? Was kann man überhaupt noch tun?

Diese und viele ähnliche Meldungen überschlagen sich gerade im Internet. Spätestens nachdem das BSI nun eine offizielle Warnung auf der höchsten Stufe ausgegeben hat, ist das Thema auch in den anderen Medien, selbst die Tagesschau berichtet da drüber.

Es gibt genug Berichte über das konkrete Problem, so dass ich hier darauf gar nicht weiter eingehen will. Leider beschäftigen sich die meisten nur mit den Symptomen. Das ist so ähnlich als würde man sich bei einem Einbruch nur das eingeschlagene Fenster anschauen, aber weder die Haustür noch den Keller mit in die Überlegung einbeziehen.

Softwaresysteme sind komplex und haben eine Vielzahl von Abhängigkeiten, auch bei sorgfältigster Prüfung wird es immer wieder zu Problemen kommen. Was aus meiner Sicht hier das Problem ist, dass niemand Systeme so baut, dass aufkommende Probleme schnell behoben werden können. Wir bei newcubator lassen automatisiert täglich alle verwendeten Abhängigkeiten auf potentielle Sicherheitsupdates (Patches) überprüfen. Dabei prüfen wir nicht nur, ob ein solcher Patch vorliegt, sondern auch, ob mit dieser noch alle Funktionen unserer Software funktionieren. Wir haben hierzu einen automatisierten Test und Release-Prozess gebaut. Dieser ist fast vollständig automatisiert, es ist nicht ungewöhnlich, dass an einem Tag drei oder vier Patches auf diese Art und Weise in unsere Software integriert werden.

Im konkreten Fall war das für uns gar nicht notwendig, da wir Log4J nicht im Einsatz haben (stattdessen verwenden wir ein System namens logback). Wir können natürlich auch nicht garantieren, dass unsere Software so etwas nie ereilt. Da aber (auch in diesem Fall) vor Veröffentlichung schon ein Patch bereitstand, ist es aber zumindest sehr wahrscheinlich, dass von uns verantwortete Systeme schon beim Bekanntwerden der Lücke auf dem aktuellen Stand wären. So verwenden wir beispielsweise auch längst nicht mehr die oft erwähnte Java Version 8 (aus dem Jahre 2014), sondern haben minimal Java 16 im Einsatz. Auch so etwas verursacht Kosten, sowohl in der Umsetzung als auch in der Qualitätssicherung, aber wer versucht Geld zu sparen, wird es später doppelt bezahlen müssen. Ein solcher Prozess ist natürlich aufwändig. Während bei mechanischen Systemen Wartung und Inspektionen selbstverständlich, oft sogar gesetzt vorgeschrieben sind, ist die Bereitschaft in die Wartung von Software zu investieren immer noch gering. Hier werden Systeme oft bis zum "End of Life", vielfach sogar darüber hinaus betrieben. "Never touch a running system" ist nach wie vor die Devise vieler Unternehmen.

Es wird Zeit, dass hier ein Umdenken einsetzt. Wartung und Pflege ist bei Software mindestens genauso wichtig wie bei mechanischen Anlagen. Die großen Betriebssystemhersteller machen es vor und versorgen uns bereits mehr oder minder ungefragt mit Patches und Sicherheitsupdates. Aber auch wir als Software-Hersteller müssen diese Arbeitsweise zur Selbstverständlichkeit machen. Genauso wie ein Elektriker keine Installation ohne aktuelle Absicherung nach Stand der Technik machen wird, liefern wir keine Software aus, die nicht mehr dem aktuellen Stand der Technik entspricht.

Jörg Herbst

CEO

Zurück zum Blog
Mehr Blogartikel...
Unser Blog behandelt eine Vielzahl verschiedener Themen. Wir setzen uns in unseren Artikeln mit Gedanken, Erfahrungen und Meinungen zu Ereignissen und technischen Neuerungen auseinander, die uns im Arbeitsalltag begegnen.

Mehr Blogartikel...

Open Source - Wissen teilen und davon lernen
Neben dem Business-Wer, den Open Source mit bringt, ist die Teilnahme an Open-Source-Projekten eine hervorragende Möglichkeit zu lernen oder auch wissen weiterzugeben.
Adrian Görisch | 30.09.2021

Open Source - Wissen teilen und davon lernen

Eine Codebasis für alle Plattformen: mit Webtechnologien zur eigenen iOS-App
Was Steve Jobs in seiner Vision zum iPhone fast gänzlich ausschloss, ist heute das Maß der Dinge: Apps und der App-Store.
Jan Sauer | 19.01.2022

Eine Codebasis für alle Plattformen: mit Webtechnologien zur eigenen iOS-App

Interesse geweckt?

Ich bin Jörg Herbst. Hier unverbindlich Kontakt mit mir aufnehmen!

* Pflichtfeld