IT-Sicherheitslücke „Log4j“: Warnstufe Rot

Jetzt neu: Epoch Times Wochenzeitung auch als Podcast

Die Lawine kam ins Rollen, nachdem auf Servern des bei Jugendlichen sehr beliebten Computerspiels „Minecraft“ eine Sicherheitslücke auffiel. Die IT-Sicherheitsfirma Cloudflare goss daraufhin Öl ins Feuer, als sie konstatierte, dass bereits seit dem 1. Dezember ausgerichtete Angriffsversuche auf die Sicherheitslücke im Umlauf waren. Attacken auf breiter Front gab es aber erst am vergangenen Wochenende. 

Was folgt, ist ein Wettlauf zwischen IT-Experten und Hackern – unsichtbar für die Internetnutzer. Schon am Samstag hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Warnstufe von Orange auf die höchste Kategorie Rot heraufgesetzt. Die Schwachstelle steckt in einer oft genutzten sogenannten Bibliothek für die Java-Software. Sie öffnet Angreifern die Tür, ihren Softwarecode auf den Servern auszuführen, um dort beispielsweise Schadprogramme laufen zu lassen. 

Verantwortlich ist ein Softwareschnipsel namens „Log4j“. Damit werden auf Webservern Vorgänge in Programmen protokolliert, die auf der weltweit am meisten verwendeten Programmiersprache Java basieren. Derartige Protokolle sind unter anderem unerlässlich, um Fehler nachzuvollziehen und sie zu beheben.

Zahl der Angriffe dürfte zunehmen

Niemand weiß genau, wo die gefährdeten Versionen von „Log4j“ bereits genutzt werden. Ob die omnipräsente Datenwolke iCloud oder die IT von Großkonzernen wie Apple, Google und Tesla: Zahlreiche Internetanwendungen sind bedroht. Die US-amerikanische IT-Sicherheitsbehörde bildete eine Taskforce mit der Bundespolizei FBI und dem Geheimdienst NSA und stellte „ein erhebliches Risiko“ fest. 

Besonders tückisch: Cyberkriminelle könnten mithilfe dieser Lücke zunächst unauffällige Hintertüren für sich einbauen, um erst Wochen oder viele Monate später ihre eigentlichen Attacken zu starten. Der ganze Schaden könnte sich somit erst während der kommenden Monate offenbaren. Dabei könnte es den Angreifern nach Einschätzung des Bundesinnenministeriums beispielsweise gelingen, betroffene Systeme „vollständig zu übernehmen“. Laut dem Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, ist auch eine einstellige Zahl öffentlicher Systeme betroffen.

Wie groß das Problem derzeit ist, lässt sich derzeit noch nicht quantifizieren, so das BSI, das auch für die IT-Sicherheit der Bundesregierung verantwortlich ist. Fakt ist, dass die betroffene Software sehr weit verbreitet ist und weltweit in unzähligen Programmen und Anwendungen steckt. Beim Computerspiel „Minecraft“ genügte schon eine Nachricht an Spieler im Chat, um den Einstieg in den fremden Computer zu schaffen. 

BSI-Präsident Arne Schönbohm sieht auch eine „große Wahrscheinlichkeit“, dass die Zahl der Angriffe zunehmen werden. Bleibt zu hoffen, dass dies nicht passiert, denn erfolgreiche Attacken bergen erhebliches Schadenspotenzial. Je nach Zugriffsrechten können Hacker nicht nur Informationen stehlen, den Rechner für eigene Zwecke nutzen oder komplett lahmlegen.

Vorsicht vor Trittbrettfahrern

IT-Sicherheitsexperten versuchen dies zu unterbinden, indem sie prüfen, welche Anwendungen den betroffenen Baustein nutzen und entsprechende Updates veröffentlichen. Jede einzelne Plattform, die den Code verwendet, muss diese Prüfung vornehmen. Die Liste der Log4j-Nutzer ist lang: von Facebook über Twitter bis zum Mars-Helikopter „Ingenuity“ der NASA. Auch ein QR-Scanner oder ein kontaktloses Türschloss können betroffen sein. 

Laut der IT-Sicherheitsfirma F-Secure gelang es Angreifern bereits teilweise, Trojaner und Software zum Erstellen von Kryptowährungen auf fremden Servern zu installieren.

Eine weitere Gefahr droht unterdessen von Trittbrettfahrern. Öffentlichkeitswirksame Sicherheitslücken wie diese werden häufig für Phishing-Attacken genutzt. E-Mails und Warnmeldungen zu „Log4j“ sollten vor diesem Hintergrund mit größter Skepsis begegnet werden und darin befindliche Links oder Datenabfragen ignoriert werden. 

Das BSI rät derweil, die zur Verfügung stehenden Updates umgehend zu installieren. Private Nutzer können nicht viel tun, um sich gegen die Schwachstelle zu schützen, außer die genutzte Software aktuell zu halten und Updates zu installieren. Wer Cloud-Dienstleistungen nutzt, sollte sich auf der Internetseite der jeweiligen Firma über mögliche Risiken und wann Updates zur Verfügung stehen, informieren.

Ein kleiner Trost: Nicht alle Anwender, die „Log4j“ nutzen, sind verwundbar. Das Problem stecke in den Standardeinstellungen. David Gugelmann, Gründer der Zürcher IT-Sicherheitsfirma Exeon verwendet die Software auch, aber mit einer veränderten Konfiguration. „Dadurch besteht keine Sicherheitslücke“, so der Fachmann.