Log4Shell hält die IT-Welt in Atem. Bei anthrazit und auf den Servern in unserem Rechenzentrum kommt die involvierte Software Log4j nicht zum Einsatz. Dennoch möchten wir Ihnen etwas Hintergrund zum Thema liefern, so verständlich wie nur möglich.
Komplexität durch Bausteine
Wer eine bestimmte Funktion für seine Software braucht, kann sich diese in der Open Source Welt holen und seine eigene Software quasi wie ein Legokunstwerk zusammenbauen. Log4j ist eine solche Software, die ein spezifische Funktion hat. Sie protokolliert Zugriffe durch andere Computer. Wer das Rad nicht ständig neu erfinden will, greift somit auf bestehende Komponenten zurück. Das heute Standard in der Entwicklung: Die Komplexität aktueller Software liesse sich ohne solche Komponenten gar nicht mehr kostengünstig realisieren. Die NZZ hat die Problematik gut zusammengefasst.
Abhängigkeiten prüfen
Bei log4j scheint es Berichten zufolge nicht um die ursprüngliche Software, sondern um die Weiterentwicklung eines anderen Entwicklers zu gehen. Auch das ist üblich. Ist die Komponente “open source”, kann ein anderer Entwickler auf dem Code aufbauen. Dabei ist in Log4j eine Sicherheitslücke entstanden – im Konzept der Software, die Programme nachladen kann, war bestimmt nicht vorgesehen, dass sie dereinst missbraucht werden könnte.
Darum sollten Entwickler nicht einfach blind auf Komponenten zugreifen, diese penibel prüfen und vor allem sich überlegen, ob es nicht zielführender und sicherer ist, die Funktion selbst zu entwickeln, anstatt auf fremden Code zurückzugreifen.
Wir nutzen für bestimmte Funktionalitäten unserer selbst entwickelten Software wie praktisch jeder Hersteller auch fremde, externe Komponenten. Diese nehmen wir jedoch ganz genau unter die Lupe. Zudem geben wir regelmässig Sicherheitstests unserer Software in Auftrag. Lücken schliessen wir sofort. Dennoch gilt: Niemand in der IT-Branche, auch anthrazit nicht, ist vor Angriffen sicher.
Einfachheit durch Komplexität
Softwareentwicklung ist heute keine einsame technische Disziplin; das Klische von den Nerds, die nächtelang zwischen Pizzaschachteln programmieren, ist längst überholt. Entwickler müssen sich tiefgehende Gedanken über die Endkunden machen, über Businessprozesse und die Operations. Schliesslich ist jede Entscheidung in der Entwicklung auch eine Entscheidung fürs Business. Darum setzt anthrazit auf Einfachheit, auf Module und sorgfältige interne Prozesse rund um die Entwicklung und die Zusammenarbeit mit Gemeinden und Institutionen, die anthrazit Software einsetzen. Jedes Produkt, jedes Modul ist exakt auf das Kundenbedürfnis zugeschnitten – keine Funktion zuviel. Die anthrazit-Produkte sollen den Alltag optimieren und ihn nicht mit einem teuren digitalen Gegenstück ersetzen. Derart einfache Software ist in der Entstehung sehr komplex, weils um mehr als nur das Schreiben von Code geht.
Text: Lukas Stalder, Leiter Entwicklung
Photo by Kevin Ku on Unsplash
#log4shell #cybersecurity #software #entwicklung