Im Dezember 2021 gab es einen besonderen Vorfall mit globalen Auswirkungen auf die IT-Sicherheit. Schaubild 1, von der Website „xkcd“ illustriert das Problem.
Betroffen war eine kleine, aber häufig von OS-Projekten genutzte Softwarekomponente, die interne Abläufe, Fehlermeldungen und Benutzereingaben protokolliert. Entsprechend waren alle Java-Applikationen, welche die Komponente Log4j zur Protokollierung verwenden, insbesondere
solche, die auf Servern laufen und aus dem Internet erreichbar sind, Ziel der Angriffe. Anwendungen auf privaten Computersystemen (Desktopcomputer, Laptops, etc.) waren zwar auch betroffen, sind jedoch normalerweise nur indirekt aus dem Internet erreichbar. Dadurch waren diese im Regelfall nicht so stark gefährdet, wie Anwendungen auf Netzservern.
Mit Bekanntwerden der Sicherheitslücke, war die Unsicherheit groß – es gab schlicht niemanden, der wirklich in der Pflicht stand sie zu schließen. Ehrenamt ist Freizeit und unvergütet, es besteht somit kein Anspruch.
Glücklicherweise erklärte sich ein Team bereit, die Sicherheitslücke trotzdem zu beheben. Dafür möchte ich mich bedanken, denn selbstverständlich ist das nicht.
Auch wenn diese Sicherheitslücke nun geschlossen wurde, steht sie exemplarisch für ein systemisches Problem.
Weite Teile unserer digitalen Infrastruktur arbeiten auf Basis ehrenamtlich entwickelter Softwarekomponenten. Diese quelloffenen Softwarekomponenten ermöglichen es, komplizierte Applikationen zu entwickeln, ohne das metaphorische Rad ständig neu erfinden zu müssen. Mitglieder der Open Source Community nennen das:
„auf den Schultern von Giganten stehen“ – denn die Entwicklungsleistung im Open Source Ökosystem der letzten Jahrzehnte ist gigantisch und frei zur Verwendung durch jedermann*frau.
Wenn nun in diesen freien und quelloffenen Softwarekomponenten eine Sicherheitslücke entdeckt wird – wer ist dann in der Verantwortung diese zu beheben? Da auch das Beheben ehrenamtlich und unentgeltlich erfolgen würde ist die Antwort auf diese Frage einfach: Niemand.
Das ist eine unhaltbare Situation, bedenken wir, dass die wirtschaftliche Wertschöpfung im Internet, wie z.B. in Webshops oder jeglichen Internetdienstleistungen auf diesen Basiskomponenten beruht.
Doch es gibt gute Nachrichten!
Ich freue mich, dass es uns als Regierungskoalition gelungen ist, eine Lösung für dieses systemische Problem zu finden – sie heißt: „Sovereign Tech Fund“ (STF). Eine Einrichtung eingegliedert unterhalb des Bundesministerium für Wirtschaft und Klimaschutz (BMWK), die staatliche Mittel für bislang im Ehrenamt tätige ProgrammiererInnen vergibt, damit umfangreiche Pflegetätigkeiten an Basisinfrastruktur im Internet durchgeführt werden können.
Direkt mit der ersten Förderrunde wurde die Softwarekomponente Log4j mit Mitteln bedacht. Eine weitere entsprechend finanzierte Basiskomponente unserer digitalen Infrastruktur ist z.B. die Bibliothek curl.. Dieses kaum von Endanwendern genutzte Programm ermöglicht Servern die Dateiübertragungen via Internet.
Ich feiere den Sovereign Tech Fund. Diese sehr direkte Förderung gewährleistet uns allen mehr Sicherheit im Netz und sorgt für größere Unabhängigkeit von proprietärer, ausländischer Software. Ich wünsche mir, dass diese und zukünftige Regierungen den STF weiterentwickeln und ausbauen. Er ist ein wichtiges Werkzeug auf dem Weg zu europäischer digitaler Souveränität durch quelloffene Software.
Aktuelle Kommentare