{"id":1721,"date":"2026-03-06T18:51:31","date_gmt":"2026-03-06T17:51:31","guid":{"rendered":"https:\/\/g7itchme.wordpress.com\/?p=1721"},"modified":"2026-03-06T18:51:31","modified_gmt":"2026-03-06T17:51:31","slug":"die-beinahe-kernschmelze-wie-ein-hacker-beinahe-das-internet-aushebelte-und-warum-open-source-trotzdem-siegte","status":"publish","type":"post","link":"https:\/\/technodidact.de\/en\/die-beinahe-kernschmelze-wie-ein-hacker-beinahe-das-internet-aushebelte-und-warum-open-source-trotzdem-siegte\/","title":{"rendered":"Die Beinahe-Kernschmelze: Wie ein Hacker beinahe das Internet aushebelte und warum Open Source trotzdem siegte"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Es war eine Latenz von einer halben Sekunde, die den beinahe Zusammenbruch der digitalen Welt verhinderte. Ende M\u00e4rz 2024 fiel dem PostgreSQL-Entwickler Andres Freund bei einer Routine\u00fcberpr\u00fcfung auf, dass sich sein SSH-Login auf einem Testsystem um etwa 500 Millisekunden verz\u00f6gerte&nbsp;<a href=\"https:\/\/www.akamai.com\/de\/blog\/security-research\/critical-linux-backdoor-xz-utils-discovered-what-to-know\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Ein scheinbar triviales Problem, dem die meisten von uns keine Beachtung geschenkt h\u00e4tten. Doch Freund, ein Principal Software Engineer bei Microsoft, wurde misstrauisch. Dieser Moment der Neugierde f\u00fchrte zur Entdeckung einer der ausgekl\u00fcgeltsten und gef\u00e4hrlichsten Supply-Chain-Attacken in der Geschichte des Internets \u2013 einer Hintert\u00fcr, die einem unbekannten Angreifer den \u201eGeneralschl\u00fcssel\u201c f\u00fcr Millionen von Servern weltweit h\u00e4tte liefern k\u00f6nnen. Der Vorfall um die XZ Utils Backdoor (CVE-2024-3094) ist nicht nur eine Geschichte von beinahe apokalyptischen Ausma\u00dfen, sondern auch ein tiefgreifendes Lehrst\u00fcck \u00fcber die Zerbrechlichkeit und die St\u00e4rke des Open-Source-\u00d6kosystems&nbsp;<a href=\"https:\/\/cert.europa.eu\/publications\/security-advisories\/2024-032\/markdown\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/securelist.com\/it-threat-evolution-q2-2024\/113669\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Die Wurzeln der Verwundbarkeit: Eine Idee und ihre Feinde<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Geschichte beginnt nicht im Jahr 2024, sondern in den 1980er Jahren, in einem stickigen Computerraum voller Papierstau. Es ist die Ursprungslegende der Freie-Software-Bewegung, die den N\u00e4hrboden f\u00fcr das sp\u00e4tere Desaster bereitete. Richard Stallman, damals Forscher am MIT, verzweifelte an einem Laserdrucker von Xerox, der st\u00e4ndig stockte, ohne die Benutzer zu benachrichtigen. Er wollte den Quellcode des Druckertreibers modifizieren, um eine Benachrichtigungsfunktion einzubauen \u2013 doch Xerox verweigerte ihm den Zugang. Diese Begegnung mit propriet\u00e4rer Software und der von ihr erzwungenen Geheimhaltung radikalisierte Stallman. Er erkannte darin nicht die Marotte eines einzelnen Unternehmens, sondern ein \u201egesellschaftliches Ph\u00e4nomen\u201c, das Kreativit\u00e4t und Zusammenarbeit erstickte.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aus dieser Wut heraus gr\u00fcndete Stallman 1985 die Free Software Foundation und entwickelte die General Public License (GPL). Seine Vision waren vier grundlegende Freiheiten: Die Freiheit, Software f\u00fcr jeden Zweck auszuf\u00fchren, sie zu studieren und zu ver\u00e4ndern, Kopien zu verbreiten und verbesserte Versionen \u00f6ffentlich herauszugeben. Das Betriebssystem GNU (\u201eGNU is Not Unix\u201c) sollte diese Ideale verk\u00f6rpern. Jahrelang fehlte ihm jedoch das Herzst\u00fcck: der Kernel. Diesen lieferte 1991 ein finnischer Student namens Linus Torvalds, der sein urspr\u00fcnglich privates Projekt \u201eLinux\u201c nach Stallmans Vortrag unter die GPL stellte. Aus GNU und Linux wurde das Betriebssystem, das heute die Welt antreibt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Linux ist allgegenw\u00e4rtig. Es l\u00e4uft auf den 500 leistungsst\u00e4rksten Supercomputern, in Atom-U-Booten, B\u00f6rsensystemen, Krankenh\u00e4usern und der \u00fcberw\u00e4ltigenden Mehrheit der Webserver. Jedes Android-Smartphone basiert auf seinem Kernel. Der Erfolg dieses anarchischen Entwicklungsmodells, bei dem tausende Augen \u00fcber den Code schauen, n\u00e4hrte lange Zeit das \u201eLinus\u2019sches Gesetz\u201c: \u201eBei gen\u00fcgend vielen Beta-Testern und Mitentwicklern ist jedes Problem schnell identifizierbar und die L\u00f6sung jemandem offensichtlich.\u201c Doch dieses Gesetz hat eine Achillesferse. Es \u00fcbersieht die unz\u00e4hligen kleinen, unscheinbaren R\u00e4dchen im Getriebe, die oft von einer einzigen, unbezahlten Person am Laufen gehalten werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Der trojanische Kompressor: Die XZ Utils Backdoor im Detail<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein solches R\u00e4dchen war&nbsp;<strong>XZ Utils<\/strong>, eine Sammlung von Datenkomprimierungsprogrammen, die auf dem hoch effizienten LZMA-Algorithmus basiert. Entwickelt und \u00fcber zwei Jahrzehnte fast im Alleingang gepflegt wurde es von&nbsp;<strong>Lasse Collin<\/strong>, einem Finnen, f\u00fcr den das Projekt ein unbezahltes Hobby war. Aufgrund seiner hervorragenden Komprimierungsrate verbreitete sich XZ still und leise im gesamten Linux-\u00d6kosystem. Es wurde zu einer versteckten, aber kritischen Abh\u00e4ngigkeit \u2013 unter anderem von&nbsp;<strong>OpenSSH<\/strong>, dem Werkzeug, das sichere Remote-Logins im Internet erm\u00f6glicht und oft als das \u201eR\u00fcckgrat der Internet-Wartung\u201c bezeichnet wird&nbsp;<a href=\"https:\/\/www.akamai.com\/de\/blog\/security-research\/critical-linux-backdoor-xz-utils-discovered-what-to-know\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/research.hisolutions.com\/2024\/04\/xz-backdoor-eine-aufarbeitung\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Genau hier setzte der Angreifer an, der sich hinter dem Pseudonym&nbsp;<strong>Jia Tan<\/strong>&nbsp;verbarg.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Phase 1: Social Engineering und die \u00dcbernahme des Projekts (ca. 2021\u20132023)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der Angriff war ein Meisterwerk der Geduld und des Social Engineerings. Ab Ende 2021 tauchte Jia Tan in der Entwickler-Mailingliste von XZ auf und reichte zun\u00e4chst harmlose, aber sinnvolle Patches ein. Diese erste Phase diente dem Vertrauensaufbau&nbsp;<a href=\"https:\/\/research.hisolutions.com\/2024\/04\/xz-backdoor-eine-aufarbeitung\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dann, im Fr\u00fchjahr 2022, betraten neue Accounts die B\u00fchne:&nbsp;<strong>Jigar Kumar<\/strong>&nbsp;und&nbsp;<strong>Dennis Ens<\/strong>. Diese zuvor v\u00f6llig unbekannten Nutzer begannen, auf der Mailingliste massiv Druck auf Lasse Collin auszu\u00fcben. Sie beklagten sich \u00fcber die schleppende Entwicklung, ignorierten Patches und stellten Collins\u2018 Hingabe zum Projekt infrage. \u201eKein Wunder, Fortschritt wird es erst geben, wenn es einen neuen Maintainer gibt\u201c, war der Tenor. Dieser koordinierte Druck, eine klassische Social-Engineering-Taktik mit Hilfe von \u201eSockenpuppen\u201c, zeigte Wirkung&nbsp;<a href=\"https:\/\/research.hisolutions.com\/2024\/04\/xz-backdoor-eine-aufarbeitung\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/prohoster.info\/tl\/blog\/novosti-interneta\/retrospektiva-prodvizheniya-bekdora-v-paket-xz\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Lasse Collin, der offen \u00fcber seine psychischen Probleme und seine \u00dcberlastung sprach, willigte schlie\u00dflich ein. Im Sommer 2022 wurde Jia Tan Co-Maintainer und \u00fcbernahm ab 2023 zunehmend die Kontrolle \u00fcber das Projekt. Er \u00e4nderte die Kontaktdaten f\u00fcr Sicherheitsmeldungen auf seine eigene E-Mail-Adresse und bereitete so den Boden f\u00fcr die n\u00e4chste Phase&nbsp;<a href=\"https:\/\/www.akamai.com\/de\/blog\/security-research\/critical-linux-backdoor-xz-utils-discovered-what-to-know\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/research.hisolutions.com\/2024\/04\/xz-backdoor-eine-aufarbeitung\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Phase 2: Die technische Meisterleistung \u2013 Die Hintert\u00fcr im Verborgenen (2024)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nach der Macht\u00fcbernahme konnte Jia Tan seinen Plan umsetzen: eine Hintert\u00fcr in die Komprimierungsbibliothek&nbsp;<strong>liblzma<\/strong>&nbsp;(Teil von XZ Utils) einzuschleusen, die dann von OpenSSH genutzt werden w\u00fcrde. Die Raffinesse lag in der Verschleierung. Der sch\u00e4dliche Code fand sich nicht im \u00f6ffentlichen Git-Repository, sondern nur in den Tarballs der Release-Versionen 5.6.0 und 5.6.1&nbsp;<a href=\"https:\/\/www.akamai.com\/de\/blog\/security-research\/critical-linux-backdoor-xz-utils-discovered-what-to-know\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/tag-security.cncf.io\/community\/catalog\/compromises\/2024\/xz\/#impact\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Infektionskette war mehrstufig:<\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><strong>Das trojanische Pferd:<\/strong>\u00a0Ein Skript (<code>build-to-host.m4<\/code>) im Build-Prozess wurde so manipuliert, dass es eine scheinbar kaputte Testdatei (<code>bad-3-corrupt_lzma2.xz<\/code>) extrahierte.<\/li>\n\n\n\n<li><strong>Die Entschl\u00fcsselung:<\/strong>\u00a0Diese extrahierte Datei war in Wirklichkeit ein weiteres, verschleiertes Skript, das eine zweite Testdatei (<code>good-large_compressed.lzma<\/code>) decodierte.<\/li>\n\n\n\n<li><strong>Die Nutzlast:<\/strong>\u00a0Aus dieser zweiten Datei wurde schlie\u00dflich ein bin\u00e4res Objekt (<code>liblzma_la-crc64-fast.o<\/code>) extrahiert und direkt in den Kompilierungsprozess von\u00a0<code>liblzma<\/code>\u00a0eingef\u00fcgt. Diese Bin\u00e4rdatei enthielt die eigentliche Hintert\u00fcr und war im Quellcode unsichtbar\u00a0<a href=\"https:\/\/www.akamai.com\/de\/blog\/security-research\/critical-linux-backdoor-xz-utils-discovered-what-to-know\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/cert.europa.eu\/publications\/security-advisories\/2024-032\/markdown\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/securelist.com\/it-threat-evolution-q2-2024\/113669\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Die Hintert\u00fcr selbst war ein hochkomplexes St\u00fcck Code. Sie nutzte eine wenig bekannte Funktion des dynamischen Linkers (<code>IFUNC<\/code>-Resolver und Audit Hooks), um einen bestimmten Moment im Programmstart von OpenSSH abzupassen \u2013 die \u201eGoldl\u00f6ckchen-Zone\u201c. In diesem winzigen Zeitfenster gelang es ihr, die Adresse der legitimen Authentifizierungsfunktion (<code>RSA_public_decrypt<\/code>) in der Global Offset Table (GOT) zu \u00fcberschreiben und durch ihre eigene, schadhafte Version zu ersetzen&nbsp;<a href=\"https:\/\/www.akamai.com\/de\/blog\/security-research\/critical-linux-backdoor-xz-utils-discovered-what-to-know\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Diese Version lauschte auf eine speziell pr\u00e4parierte, mit einem privaten Schl\u00fcssel signierte Verbindung. Erkannte sie diesen \u201eGeneralschl\u00fcssel\u201c, gew\u00e4hrte sie dem Angreifer nicht nur Zugang, sondern erlaubte ihm auch die sofortige Ausf\u00fchrung beliebiger Befehle auf dem Server \u2013 und das&nbsp;<strong>vor<\/strong>&nbsp;der eigentlichen Authentifizierung&nbsp;<a href=\"https:\/\/cert.europa.eu\/publications\/security-advisories\/2024-032\/markdown\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/securelist.com\/it-threat-evolution-q2-2024\/113669\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Zus\u00e4tzlich verf\u00fcgte die Backdoor \u00fcber einen \u201eKill Switch\u201c, eine Umgebungsvariable, die, falls gesetzt, die Hintert\u00fcr deaktivierte und so eine einfache \u00dcberpr\u00fcfung durch Sicherheitstools verhindern sollte&nbsp;<a href=\"https:\/\/www.akamai.com\/de\/blog\/security-research\/critical-linux-backdoor-xz-utils-discovered-what-to-know\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bis Ende M\u00e4rz 2024 war die manipulierte XZ-Version bereits in die Vorabversionen mehrerer wichtiger Distributionen eingeflossen, darunter Fedora Rawhide, Debian Testing und Kali Linux&nbsp;<a href=\"https:\/\/research.hisolutions.com\/2024\/04\/xz-backdoor-eine-aufarbeitung\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/cert.europa.eu\/publications\/security-advisories\/2024-032\/markdown\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Die Ver\u00f6ffentlichung von Red Hat Enterprise Linux 10 (RHEL 10) stand kurz bevor. Die Welt stand am Abgrund.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Die Rettung in letzter Sekunde: Der Zufallsheld<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Dann geschah das, was man nur als digitales Wunder bezeichnen kann. Andres Freund bemerkte die winzige Verz\u00f6gerung und lie\u00df nicht locker. Er grub tiefer, stie\u00df auf die Valgrind-Warnungen, die Wochen zuvor von anderen als harmlose Fehler abgetan worden waren, und analysierte die verd\u00e4chtigen Testdateien. Am 28. M\u00e4rz 2024 verstand er, was er vor sich hatte: eine hochgradig raffinierte Hintert\u00fcr. Anstatt den offiziellen Meldeweg \u00fcber den kompromittierten Jia Tan zu gehen, schrieb er eine E-Mail an die Debian-Sicherheitsliste und ver\u00f6ffentlichte einen detaillierten Bericht auf der \u00f6ffentlichen Mailingliste&nbsp;<code>oss-security<\/code>&nbsp;<a href=\"https:\/\/www.akamai.com\/de\/blog\/security-research\/critical-linux-backdoor-xz-utils-discovered-what-to-know\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/research.hisolutions.com\/2024\/04\/xz-backdoor-eine-aufarbeitung\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Nachricht verbreitete sich wie ein Lauffeuer. Ein hektisches Osterwochenende folgte. Die betroffenen Distributionen zogen die verseuchten Pakete sofort zur\u00fcck, das XZ-Repository auf GitHub wurde offline genommen, und Sicherheitsforscher auf der ganzen Welt begannen mit der Analyse. Freunds Hartn\u00e4ckigkeit und sein Gesp\u00fcr f\u00fcr das Ungew\u00f6hnliche hatten die Katastrophe verhindert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Erleichterung wich schnell unbequemen Fragen. Wer steckte hinter Jia Tan? Die Analyse der Zeitstempel in den Code-Commits ergab ein widerspr\u00fcchliches Bild. Viele \u00c4nderungen wurden in der Zeitzone UTC+8 (Peking) eingespielt, andere wiederum in UTC+2 (Osteuropa). Die Angreifer arbeiteten an chinesischen Feiertagen, aber nicht an Weihnachten. Die Spuren f\u00fchrten in alle und keine Richtung. Die allgemeine Einsch\u00e4tzung von Experten ist, dass es sich aufgrund der Komplexit\u00e4t, der Geduld und der finanziellen Mittel mit hoher Wahrscheinlichkeit um einen&nbsp;<strong>staatlich gef\u00f6rderten Akteur<\/strong>&nbsp;handelt \u2013 m\u00f6glicherweise aus Russland (APT29, \u201eCozy Bear\u201c) oder einer anderen Nation mit hochentwickelten Cyberkapazit\u00e4ten. Eine definitive Zuordnung wird es wohl nie geben&nbsp;<a href=\"https:\/\/www.akamai.com\/de\/blog\/security-research\/critical-linux-backdoor-xz-utils-discovered-what-to-know\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/research.hisolutions.com\/2024\/04\/xz-backdoor-eine-aufarbeitung\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a><a href=\"https:\/\/securelist.com\/it-threat-evolution-q2-2024\/113669\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Das System am Abgrund: Kontroversen und Zuk\u00fcnftige Implikationen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der XZ-Vorfall ist mehr als ein einmaliger Hack; er ist ein Weckruf, der tiefgreifende systemische Probleme offenlegt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1. Die Krise der Maintainer: Burnout als Sicherheitsrisiko<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Lasse Collin ist kein Einzelfall. Er ist der Prototyp des unbezahlten, allein k\u00e4mpfenden Maintainers, auf dessen Schultern die digitale Infrastruktur ruht. Eine Umfrage von Tidelift aus dem Jahr 2024 zeigt, dass 60% der Open-Source-Maintainer unbezahlt arbeiten und 61% ihre Projekte im Alleingang betreuen&nbsp;<a href=\"https:\/\/socket.dev\/blog\/the-unpaid-backbone-of-open-source\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Gleichzeitig geben 60% der Befragten an, schon einmal erwogen zu haben, ihre Arbeit ganz aufzugeben. Der Druck durch die Community, die oft ungeduldig und fordernd auftritt, und die zunehmenden Sicherheitsanforderungen f\u00fchren zu einem gef\u00e4hrlichen Burnout. Jia Tans Sockenpuppen haben genau dieses Muster ausgenutzt. Der XZ-Vorfall hat schmerzhaft vor Augen gef\u00fchrt, dass das Narrativ vom \u201ekostenlosen Bier\u201c (\u201efree as in beer\u201c) in die Irre f\u00fchrt. Open Source ist kostenlos wie ein Welpe, nicht wie ein Freibier&nbsp;<a href=\"https:\/\/thecuberesearch.com\/open-source-at-scale-requires-stewardship-not-assumptions\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Man muss sich um ihn k\u00fcmmern, ihn f\u00fcttern und ihn gesund erhalten \u2013 und das kostet Geld und Aufmerksamkeit.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2. Die Grenzen des \u201eLinus\u2019schen Gesetzes\u201c<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der Fall XZ zeigt, dass \u201egen\u00fcgend Augen\u201c allein nicht ausreichen. Die Hintert\u00fcr war so raffiniert versteckt, dass sie einer oberfl\u00e4chlichen Code-\u00dcberpr\u00fcfung standhielt. Der b\u00f6sartige Code lag nicht im offensichtlichen Quellcode, sondern in bin\u00e4ren Testdateien und wurde erst durch einen komplexen Build-Prozess aktiviert. Die Community hat versagt, weil sie nicht dort hingesehen hat, wo der Angreifer sie versteckt hatte. Es brauchte einen zuf\u00e4lligen Umstand (die Latenz) und einen extrem misstrauischen und hartn\u00e4ckigen Entwickler, um sie zu finden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3. Die Verantwortung der Industrie<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Jahrelang haben Unternehmen aller Gr\u00f6\u00dfen von Open-Source-Software profitiert, ohne in deren Wartung zu investieren. Der XZ-Zwischenfall hat dieses Modell als unhaltbar entlarvt. Initiativen wie das&nbsp;<strong>EU Cyber Resilience Act<\/strong>&nbsp;zwingen Unternehmen nun, die Sicherheit ihrer Software-Lieferketten zu garantieren \u2013 auch f\u00fcr die darin enthaltenen Open-Source-Komponenten&nbsp;<a href=\"https:\/\/thecuberesearch.com\/open-source-at-scale-requires-stewardship-not-assumptions\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>. Dies k\u00f6nnte endlich zu einem Umdenken und einer nachhaltigen Finanzierung kritischer Infrastrukturprojekte f\u00fchren. Es entstehen bereits Gesch\u00e4ftsmodelle, die \u201ekommerzielle Betreuung\u201c (\u201eStewardship as a Service\u201c) f\u00fcr Open-Source-Projekte anbieten, um die Wartung zu professionalisieren und zu zentralisieren&nbsp;<a href=\"https:\/\/thecuberesearch.com\/open-source-at-scale-requires-stewardship-not-assumptions\/\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">4. Der Wert von Offenheit<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Paradoxerweise wurde die Gefahr durch ein offenes System erst entdeckt. W\u00e4re XZ propriet\u00e4re Software gewesen, h\u00e4tte ein Angreifer eine \u00e4hnliche Hintert\u00fcr einbauen k\u00f6nnen, ohne dass jemand wie Andres Freund die M\u00f6glichkeit gehabt h\u00e4tte, den Code zu untersuchen. Ein Gerichtsbeschluss oder eine stillschweigende Vereinbarung mit einem Unternehmen h\u00e4tte gen\u00fcgt, um eine Hintert\u00fcr f\u00fcr eine Beh\u00f6rde zu schaffen. Die Transparenz und die M\u00f6glichkeit zur unabh\u00e4ngigen Pr\u00fcfung, die Open Source bietet, erweisen sich letztlich als seine gr\u00f6\u00dfte St\u00e4rke \u2013 auch wenn sie in diesem Fall erst in letzter Sekunde griff&nbsp;<a href=\"https:\/\/ui.adsabs.harvard.edu\/abs\/2025arXiv250417473P\/abstract\" target=\"_blank\" rel=\"noreferrer noopener\"><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Fazit: Mehr als ein Weckruf<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die XZ-Backdoor war ein beinahe apokalyptisches Ereignis. Nur das zuf\u00e4llige Zusammentreffen eines neugierigen Entwicklers mit einer halbsek\u00fcndigen Verz\u00f6gerung verhinderte eine Sicherheitskatastrophe ungekannten Ausma\u00dfes. Wir kamen mit einem blauen Auge davon.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Doch die Lehren sind eindeutig. Wir k\u00f6nnen uns nicht l\u00e4nger auf die selbstlose Aufopferung Einzelner verlassen. Das Open-Source-\u00d6kosystem, das R\u00fcckgrat unserer digitalen Zivilisation, ist zu wichtig, um es dem Zufall und dem Burnout seiner H\u00fcter zu \u00fcberlassen. Es braucht ein neues Gesellschaftsmodell, bei dem diejenigen, die von der Infrastruktur profitieren \u2013 Regierungen und Konzerne \u2013, auch in ihre nachhaltige Pflege und Sicherheit investieren. Die Geschichte von XZ ist eine Warnung, aber auch ein Beleg f\u00fcr die Widerstandsf\u00e4higkeit des offenen Modells. Die Frage ist nicht,&nbsp;<em>ob<\/em>&nbsp;ein \u00e4hnlicher Angriff wieder passieren wird, sondern&nbsp;<em>wann<\/em>. Und ob wir dann das n\u00e4chste Mal einen Andres Freund haben, der uns rettet.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h3 class=\"wp-block-heading\">Kategorisierung<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>im-rueckspiegel\/techarchaeologie<\/strong>: Der Artikel untersucht einen aktuellen Vorfall, bettet ihn aber tief in die historische Entwicklung der Open-Source-Bewegung und ihre Gr\u00fcndungsmythen ein.<\/li>\n\n\n\n<li><strong>im-kopf\/denkwerkzeuge<\/strong>: Er analysiert die Denkweise und die sozialen Manipulationstechniken des Angreifers sowie die kognitiven Prozesse des Entdeckers, was den Vorfall zu einem Paradebeispiel f\u00fcr die Grenzen und M\u00f6glichkeiten menschlicher Probleml\u00f6sung im digitalen Raum macht.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Quellen<\/h3>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li>Akamai. (2024).\u00a0<em>Alles, was Sie \u00fcber die XZ Utils Backdoor wissen m\u00fcssen<\/em>. [online] Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/www.akamai.com\/de\/blog\/security-research\/critical-linux-backdoor-xz-utils-discovered-what-to-know\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.akamai.com\/de\/blog\/security-research\/critical-linux-backdoor-xz-utils-discovered-what-to-know<\/a>\u00a0[Zugriff am 6. M\u00e4rz 2026].<\/li>\n\n\n\n<li>P\u00f6sch, T. et al. (2025).\u00a0<em>Wolves in the Repository: A Software Engineering Analysis of the XZ Utils Supply Chain Attack<\/em>. arXiv:2504.17473.<\/li>\n\n\n\n<li>HiSolutions Research. (2024).\u00a0<em>xz-Backdoor \u2013 eine Aufarbeitung<\/em>. [online] Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/research.hisolutions.com\/2024\/04\/xz-backdoor-eine-aufarbeitung\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/research.hisolutions.com\/2024\/04\/xz-backdoor-eine-aufarbeitung\/<\/a>\u00a0[Zugriff am 6. M\u00e4rz 2026].<\/li>\n\n\n\n<li>CNCF TAG Security. (2024).\u00a0<em>Malicious maintainer introduces sophisticated backdoor in xz<\/em>. [online] Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/tag-security.cncf.io\/community\/catalog\/compromises\/2024\/xz\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/tag-security.cncf.io\/community\/catalog\/compromises\/2024\/xz\/<\/a>\u00a0[Zugriff am 6. M\u00e4rz 2026].<\/li>\n\n\n\n<li>theCUBE Research. (2026).\u00a0<em>Open Source at Scale Requires Stewardship, Not Assumptions<\/em>. [online] Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/thecuberesearch.com\/open-source-at-scale-requires-stewardship-not-assumptions\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/thecuberesearch.com\/open-source-at-scale-requires-stewardship-not-assumptions\/<\/a>\u00a0[Zugriff am 6. M\u00e4rz 2026].<\/li>\n\n\n\n<li>CERT-EU. (2024).\u00a0*Critical Vulnerability in XZ Utils (2024-032)*. [online] Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/cert.europa.eu\/publications\/security-advisories\/2024-032\/markdown\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/cert.europa.eu\/publications\/security-advisories\/2024-032\/markdown<\/a>\u00a0[Zugriff am 6. M\u00e4rz 2026].<\/li>\n\n\n\n<li>Mallia, M. (2025).\u00a0*GitHub &#8211; mrk336\/CVE-2024-3094*. [online] Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/github.com\/mrk336\/CVE-2024-3094\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/github.com\/mrk336\/CVE-2024-3094<\/a>\u00a0[Zugriff am 6. M\u00e4rz 2026].<\/li>\n\n\n\n<li>ProHoster. (2024).\u00a0<em>Retrospective ng backdoor promotion sa xz package<\/em>. [online] Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/prohoster.info\/tl\/blog\/novosti-interneta\/retrospektiva-prodvizheniya-bekdora-v-paket-xz\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/prohoster.info\/tl\/blog\/novosti-interneta\/retrospektiva-prodvizheniya-bekdora-v-paket-xz<\/a>\u00a0[Zugriff am 6. M\u00e4rz 2026].<\/li>\n\n\n\n<li>Securelist (Kaspersky). (2024).\u00a0<em>IT threat evolution Q2 2024<\/em>. [online] Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/securelist.com\/it-threat-evolution-q2-2024\/113669\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/securelist.com\/it-threat-evolution-q2-2024\/113669\/<\/a>\u00a0[Zugriff am 6. M\u00e4rz 2026].<\/li>\n\n\n\n<li><a href=\"https:\/\/socket.dev\/\" target=\"_blank\" rel=\"noreferrer noopener\">Socket.dev<\/a>.\u00a0(2024).\u00a0<em>The Unpaid Backbone of Open Source: Solo Maintainers Face Increasing Security Demands<\/em>. [online] Verf\u00fcgbar unter:\u00a0<a href=\"https:\/\/socket.dev\/blog\/the-unpaid-backbone-of-open-source\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/socket.dev\/blog\/the-unpaid-backbone-of-open-source<\/a>\u00a0[Zugriff am 6. M\u00e4rz 2026].<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">Schlagworte<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">XZ-Backdoor, CVE-2024-3094, Open Source, Supply-Chain-Angriff, Linux-Sicherheit, Jia Tan, Maintainer-Burnout<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es war eine Latenz von einer halben Sekunde, die den beinahe Zusammenbruch der digitalen Welt verhinderte. Ende M\u00e4rz 2024 fiel dem PostgreSQL-Entwickler Andres Freund bei einer Routine\u00fcberpr\u00fcfung auf, dass sich sein SSH-Login auf einem Testsystem um etwa 500 Millisekunden verz\u00f6gerte&nbsp;. Ein scheinbar triviales Problem, dem die meisten von uns keine Beachtung geschenkt h\u00e4tten. Doch Freund, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[41,44,17],"tags":[1334,3526,4173,4288,5107,6767,7858],"class_list":["post-1721","post","type-post","status-publish","format-standard","hentry","category-digitalkultur","category-ethik-gewissen","category-im-herz","tag-cve-2024-3094","tag-jia-tan","tag-linux-sicherheit","tag-maintainer-burnout","tag-open-source","tag-supply-chain-angriff","tag-xz-backdoor"],"_links":{"self":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/1721","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/comments?post=1721"}],"version-history":[{"count":0,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/1721\/revisions"}],"wp:attachment":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/media?parent=1721"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/categories?post=1721"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/tags?post=1721"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}