Die IT-Welt steht in datenschutztechnischer Hinsicht mal wieder Kopf. Die log4j-Schwachstelle bedroht Millionen von Systemen – hauptsächlich Server, die ggf. sogar komplett übernommen werden können. Was genau machbar ist und die Details, wie Hacker vorgehen können, ist aktuell überall nachlesbar. Eine Liste betroffener Systeme ist mit heutigem Stand noch sehr unvollständig.
Doch warum schreibe auch ich etwas dazu?
Weil ich die Speicherung von schützenswerten Daten, so dass darauf über das Internet zugegriffen werden kann, grundsätzlich kritisch sehe. Das ganze kann nur funktionieren, wenn entsprechende Schutzmechanismen implementiert sind. Wird die Bedrohungslage aber nicht korrekt eingeschätzt, werden möglicherweise nicht die tatsächlich benötigten Mechanismen implementiert. Und es gibt keinen Schutz.
So habe auch ich die Meldung eines Online-Dienstleisters erhalten, den ich im Auftrag eines Kunden nutzte. Er beschwichtigte mich und teilte mir mit, dass meine Daten immer sicher waren und nach wie vor sicher sind. Um mir dann zu sagen, dass sich sofort ein Notfall-Team gekümmert hat, um die System einer Prüfung zu unterziehen und Updates/Patches einzuspielen.
Doch warum musste der Dienstleister erst alles prüfen, wenn doch alles bereits „stets sicher war“? Und warum mussten Updates/Patches eingespielt werden, wenn kein Handlungsbedarf bestand?
Aufgrund des aktuellen Vorfalls möchte in Hinblick auf das Thema Internet und Software in der Cloud auf Folgendes hinweisen.
- Das aktuelle Sicherheitsproblem resultiert aus einer Problematik, die in der aktuellen Art und Weise der Softwareentwicklung begründet ist. Und teilweise auch der Nutzung von Open-Source-Software – deren Art der Entwicklung in bestimmten Fällen hinterfragt werden sollte.
- Um den Aufwand bei Herstellung und Wartung der zu entwickelnden Software so gering wie möglich zu halten, wird auf bestehende Softwarekomponenten zurückgegriffen. Getreu dem Motto: „Wozu das Rad nochmal neu erfinden“. Völlig gerechtfertigt.
- Im aktuellen Projekt sollten die so wiederverwendeten und eben nicht selbst entwickelten/programmierten Komponenten in der eingesetzten Version bereits einmal von dem jeweiligen Verantwortlichen geprüft worden sein (bspw. aufgrund der Verwendung in einem anderen Projekt). Um die genaue Funktionsweise kennenzulernen und auch eine mögliche externe Kommunikation zu hinterfragen.
- Doch dafür bleibt in Hinblick auf Liefertermin und Budget meist keine Zeit. Und dann kann es zu solch weitreichenden Vorfällen kommen. Im aktuellen Fall wurde die Programmierung des seit mehreren Jahren weltweit genutzten log4j-Frameworks weder von der Community noch von Entwicklern, die die Komponenten nutzen, hinterfragt.
Können Sie diese Gefahren für bestimmte Aufträge minimieren?
Ja. Denn in vielen Fällen, wo insbesondere der Datenschutz „tangiert“ wird, ist es oft sinnvoller, Leistungen von einem IT-Selbständigen wie mir in Anspruch zu nehmen. Bei dem aufgrund seiner Infrastruktur und seiner Arbeitsweise solche Vorfällen ausgeschlossen sind.