"Wir rasen an metertiefen Schlaglöchern vorbei, ohne es zu merken"

**Draalz** · 23.12.21, 23:16

Zitat:

Log4j-Sicherheitslücke

"Wir rasen an metertiefen Schlaglöchern vorbei, ohne es zu merken"

Software, die praktisch jeder Konzern nutzt, wird von wenigen unermüdlichen Freiwilligen gepflegt. Die müssten besser ausgestattet werden, sagt Expertin Adriana Groh.

Interview: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

18. Dezember 2021, 15:29 Uhr

Genau wie Straßen sollten wir digitale Infrastrukturen als Teil der Daseinsvorsorge begreifen, sagt Adriana Groh. © Liam Riby/Shutterstock

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]. Zahlreiche Behörden und Firmen waren oder sind angreifbar, denn Log4j-Schnipsel stecken in unüberschaubar vielen Anwendungen. Erst im Oktober haben Adriana Groh, die sich seit Jahren für ein offenes Techökosystem einsetzt, und ihre Kolleginnen von der gemeinnützigen Open Knowledge Foundation gewarnt, dass so etwas passieren könnte. [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] machen sie Vorschläge, wie solche offenen digitalen Basistechnologien besser gefördert werden könnten.

ZEIT ONLINE: Frau Groh, die Sicherheitslücke in der [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] Log4j hat gezeigt, dass es Softwarebausteine gibt, die praktisch überall drinstecken, aber von einer Handvoll Ehrenamtlicher gepflegt werden. Wie kann das sein?

Adriana Groh: Das hat damit zu tun, wie das Internet entstanden ist. Es ist ein Projekt gewesen, an dem am Anfang relativ wenige Menschen gearbeitet haben. Und zwar von Beginn an dezentral: Verschiedene Leute wollten Lösungen für Probleme finden oder neue Dinge erschaffen oder hatten einfach Spaß daran, mit der neuen Technik zu experimentieren. Diese Menschen haben sich ausgetauscht und daraus ist eine Community entstanden, in der es selbstverständlich ist, dass man Lösungen teilt und die Bausteine anderer für seine Projekte verwenden darf. Wenn sich ein Baustein bewährt, verbreitet er sich unter Umständen sehr weit. Das ist aber nicht zentral geplant, sondern passiert einfach.

ZEIT ONLINE: Log4j ist also kein Sonderfall?

Groh: Überhaupt nicht. Moderne Software besteht aus unzähligen einzelnen Bausteinen und viele davon gibt es schon sehr lange. Open-Source-Software, also frei verfügbare Software, bildet die Basis unserer gesamten digitalen Infrastruktur. Deshalb ist es auch so schwer, abzuschätzen, welcher der Bausteine besonders kritisch ist. Das weiß man eigentlich erst, wenn so etwas passiert wie jetzt bei Log4j.

ZEIT ONLINE: Log4j ist eine Programmbibliothek, eine Sammlung von Befehlen, die Entwicklerinnen bei einer Routineaufgabe helfen. [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]. Die Folgen dieser Lücke sind noch immer kaum absehbar, sicher sind die gravierend. Wer ist schuld daran?

Groh: Diese Frage versuchen gerade viele zu vermeiden, weil es passieren könnte, dass die Finger auf die Leute zeigen, die sich um diese Software kümmern. Das wäre aber falsch. Dahinter steckt ein strukturelles Problem. Das ist keine klare Antwort auf die Frage, wer Schuld hat, ich weiß. Die gibt es wohl auch nicht. Aber es ist wichtig, zu betonen: Das Problem, das jetzt bei Log4j aufgetaucht ist, war kein Fehler in dem Sinne, dass da jemand schlecht programmiert hätte. Die Tools, über die wir hier sprechen, sind oft seit Jahrzehnten bewährt, und die Menschen, die sich darum kümmern, sind häufig hervorragende Entwickler und Entwicklerinnen.

Zitat:

Adriana Groh

arbeitet an den Schnittstellen von Technologie, Gesellschaft und Politik. Gemeinsam mit Katharina Meyer, Fiona Krakenbürger und Eileen Wagner hat hat sie bei der Open Knowledge Foundation Deutschland eine Machbarkeitsstudie für einen Sovereign Tech Fund verfasst, der vom Bundesministerium für Wirtschaft und Energie gefördert wurde. Die Autorinnen haben zuvor mit dem Prototype Fund ein Förderprogramm für Open-Source-Software aufgebaut. Die Open Knowledge Foundation setzt sich seit zehn Jahren für offenes Wissen, Techcommunitys und das demokratische Potenzial von Technologien ein.

ZEIT ONLINE: Wer sind denn eigentlich diese Menschen, die da unbezahlt und ohne Dank das Rückgrat des Internets pflegen?

Groh: Es sind Menschen, die eine starke Eigenmotivation haben. Es geht ihnen weniger darum, Sichtbarkeit zu generieren, sondern um die Herausforderung und um Kollaborationen mit Gleichgesinnten. Der Gemeinwohlgedanke ist auch sehr stark ausgeprägt. Es gibt durchaus Leute, die sagen, dass sie dafür gar nicht bezahlt werden wollen, weil es dann kein Hobby mehr wäre, sondern Arbeit. Das ist einerseits natürlich toll. Aber es wirft auch Fragen auf: Wie findet man Nachwuchs für diese Tätigkeit? Wie kann die Gruppe diverser werden? Denn es sind schon überdurchschnittlich viele weiße Männer zwischen 30 und 50 darunter. Diese Szene zu professionalisieren, ist nicht einfach, auch, weil das nie der Anspruch war.

ZEIT ONLINE: Wäre es dann besser, wenn Unternehmen solche Softwarebausteine nicht mehr verwenden würden und alle ihre Programme und Bibliotheken selbst entwickeln würden?

Groh: Nein, auf keinen Fall. Wenn jetzt durch diesen Fall der Eindruck entstünde, Open-Source-Software wäre irgendwie minderwertig, wäre das fatal. Es ist im Gegenteil wichtig, dass diese Basistechnologien offen und frei verfügbar sind. Nur dann sind sie unabhängig überprüfbar. Das Problem ist, dass die Art, wie diese Software entstanden ist, und die Art, wie Unternehmen, die damit Geld verdienen wollen, sie jetzt benutzen, nicht unbedingt zusammenpasst. Wir brauchen eine Kultur, dass eine freie, dezentrale, lebendige Community gute Software entwickeln kann und Unternehmen, die diese Software dann nutzen, diese Community unterstützen. Das ist nicht nur eine Frage des Geldes. Diese Szene komplett zu kommerzialisieren, wäre der falsche Weg.

ZEIT ONLINE: Wie können Unternehmen die Open-Source-Gemeinde denn unterstützen?

Groh: Ein Vorschlag wäre, dass die Leute, die an solchen wichtigen Infrastrukturkomponenten arbeiten, Rechnungen an Unternehmen schreiben, die diese nutzen. Aber wie gesagt, es geht nicht nur um Geld. Unternehmen müssen eine Open-Source-Strategie aufbauen. Das heißt, dass Leute in ihrer Arbeitszeit an diesem Open-Source-Ökosystem mitarbeiten und etwas zurückgeben. Und es bedeutet, dass Unternehmen eine Kultur etablieren, wie sie mit der Szene auf Augenhöhe arbeiten und kommunizieren können. Solche Strategien gibt es in deutschen Unternehmen bereits, es ist aber ausbaufähig. Und dann kommt dazu, dass dieses Thema nicht nur Unternehmen etwas angeht, die diese Softwarebausteine nutzen, sondern uns alle.

ZEIT ONLINE: Wie meinen Sie das?

Groh: Wir sprechen hier von Software, die prägend ist für unsere gesamte digitale Infrastruktur. Ähnlich wie bei der analogen Infrastruktur sind wir als Gesellschaft darauf angewiesen, dass sie funktioniert. Wir wollen sichere Straßen und Brücken, die nicht einstürzen. Genauso müssen wir digitale Infrastrukturen als Teil der Daseinsvorsorge begreifen, die wir pflegen und sichern müssen, damit wir frei, handlungsfähig und wettbewerbsfähig bleiben.

"Der Staat sollte Geld für digitale Basistechnologie bereitstellen"

ZEIT ONLINE: In diesem Bild wäre Log4j wohl der Brückenpfeiler. Allerdings kann man den nicht einfach per Copy und Paste kopieren, und er wird auch nicht von Ehrenamtlichen entworfen. Ist das Problem für viele auch deshalb so abstrakt, weil keine einfache Entsprechung in der analogen Welt dafür existiert?

Groh: Ja, ich glaube schon. Wir benutzen alle ständig diese Infrastruktur, aber sie ist für uns im Grunde unsichtbar. Um mal in diesem Bild zu bleiben: Die meisten Menschen nehmen schon kaum wahr, dass es die Straße gibt. Und erst recht merken wir nicht, dass wir ständig haarscharf an metertiefen Schlaglöchern vorbeirasen. Deswegen haben viele Menschen kein Gespür dafür, wie wichtig es wäre, an dieser Situation etwas zu verändern.

ZEIT ONLINE: Sollte solche Infrastruktur dann auch in staatlicher Hand liegen, ähnlich wie Straßen?

Groh: Nein, das ist zumindest nicht unser Vorschlag. Wir sehen solche digitalen Basistechnologien als Allgemeingut und es ist wichtig, dass es gut, sicher, offen, transparent und für alle zugänglich funktioniert. Der Staat sollte aber durchaus als Akteur auftreten und Geld bereitstellen.

ZEIT ONLINE: In einer vom Bundeswirtschaftsministerium geförderten Studie, die im Oktober veröffentlicht wurde, schlagen Sie und Ihre Kolleginnen vor, dafür den Sovereign Tech Fonds aufzusetzen. Wie könnte der funktionieren?

Groh: Die Grundidee ist, dass der Staat Instrumente schafft, mit denen er Projekte, Einzelpersonen oder Unternehmen fördert, die diese Software-Basisinfrastruktur entwickeln oder pflegen.

ZEIT ONLINE: Das passiert bisher nicht?

Groh: Kaum. Es gibt eine starke Fokussierung auf Innovation. Die sind gut und wichtig, ich habe selbst ein Innovationsförderprogramm geleitet, den Prototype Fund. Aber wenn man die Grundlagen vernachlässigt, dann baut man die tollen neuen Schlösser auf Sand.

ZEIT ONLINE: Was sollte also konkret passieren?

Groh: Es braucht eine Metrik, welche Projekte und Personen für die Grundlagenarbeit gefördert werden sollen. Dann können sich Personen oder Projekte bewerben und sollten auch aktiv gesucht werden. Ein Expertengremium würde bei der Entscheidung helfen, wer welche Förderung erhält. Das kann dann ganz unterschiedlich aussehen. Mal ist es vielleicht inhaltliche Unterstützung bei der Kommunikation oder bei einem Sicherheitsaudit. Mal sind es 50.000 Euro für ein halbes Jahr oder 500.000 Euro für zwei Jahre. Die Projekte sind unterschiedlich, das muss man immer individuell sehen.

ZEIT ONLINE: Gibt es schon einen Starttermin für den Fonds?

Groh: Bisher gibt es ihn nur auf Papier. Meine Hoffnung ist, dass wir bald zumindest in einem geringen Umfang schnell starten können, um die Abläufe zu testen. So bitter die aktuelle Log4j-Geschichte ist – sie zeigt doch auch sehr deutlich, dass die Politik jetzt schnell handeln sollte.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]