Auf Java bauen heute fast alle Anwendungsprogramme auf – und zwar unabhängig davon, ob sie direkt auf dem eigenen Rechner installiert sind oder über das Internet angesteuert werden.
Java ist im Kern eine Programmiersprache, die derzeit für viele Geräte gebraucht wird – auch für Server, zum Beispiel die des Herstellers Apache. Java ist aber auch eine sogenannte Laufzeitumgebung. Diese ist ein kleiner Teil von Anwendungsprogrammen. Ihre Aufgabe ist es, Programme so kompakt zu halten, dass möglichst wenig Speicher erforderlich ist – und das, ohne die Leistung zu beeinträchtigen. Java arbeitet also immer im Hintergrund und arbeitet konstant Prozesse ab. Das ist vor allem bei anspruchsvollen Anwendungen wie zum Beispiel Buchungsprogrammen oder komplexeren grafischen Anwendungen wichtig.
Zu jeder Software, so auch für Java, gibt es Unterprogramme, sogenannte Bibliotheken, die wiederum in Unterbibliotheken eingeteilt sind. Diese sind keine eigenständig lauffähigen Einheiten, sondern Hilfsmodule. Diese werden von den Hauptprogrammen angefordert, um reibungslos zu arbeiten. Das Problem ist, dass die großen Softwarehersteller viele Bibliotheken nicht selbst programmieren, sondern „einkaufen“ und in größere Umgebungen einbauen. Dieses Vorgehen ist für freie Programmierteams und „Einzelkämpfer“ eine gute Möglichkeit, mit den Branchengrößen zusammenzuarbeiten.
Tim Schughart weist darauf hin, dass einige Programmierer die Hilfsmodule sogar gratis zur Verfügung stellen, wobei dabei keine Garantie für weitere Optimierungen in der Zukunft gibt. Und genau das ist offenbar das Problem bei „Log4j“ der Fall. Das Hilfsmodul wurde schon vor einiger Zeit von einem Zweierteam in Asien programmiert und dann nur noch spärlich weiterverfolgt. Die Schwachstelle in „Log4j“ stammt von einem Chinesen, der diese aber auch veröffentlicht hat.
Und jetzt ist das Modul zu einer Problemstelle in einer Java-Bibliothek geworden. Gefährdet sind weltweit Millionen Onlineanwendungen, darunter auch Speicherdienste wie die iCloud von Apple. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die IT-Bedrohungslage auf die höchste Warnstufe „Rot“ gesetzt.
Wie die Kriminellen die Schwachstelle finden? Für versierte Hacker scheint das relativ einfach zu sein. „Es gibt Hilfsprogramme, mit denen sie die Systeme einfach nach Schwachstellen abscannen“, erklärt Immanuel Bär. ka