Computer, Internet

BERLIN - Eine gefährliche Schwachstelle in einer vielbenutzten Server-Software lässt die Alarmglocken bei IT-Experten läuten.

12.12.2021 - 14:27:30

Warnstufe Rot: Wettlauf um Sicherheitslücke in Server-Software. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Samstag seine Warnstufe zu der Sicherheitslücke von Orange auf Rot hoch. Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es zur Begründung. "Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar", warnte das Amt, das auch für die IT-Sicherheit der Bundesregierung verantwortlich ist.

Die Schwachstelle steckt in einer oft genutzten Bibliothek für die Java-Software. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen können. Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen. Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.

Unsichtbar für die Internet-Nutzer lief am Wochenende ein Wettlauf zwischen IT-Experten und Online-Kriminellen, die automatisiert nach anfälligen Servern suchen lassen. "Im Moment liegt die Priorität darauf, herauszufinden, wie weit verbreitet das Problem wirklich ist", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. "Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden."

Besonders heimtückisch: Angreifer könnten jetzt mit Hilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost. "Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später."

Erschwerend kommt hinzu, dass zumindest einige Angreifer möglicherweise mehr Vorlauf hatten als zunächst angenommen. Das Problem wurde öffentlich bekannt, nachdem die Sicherheitslücke am Donnerstag auf Servern für das Online-Spiel "Minecraft" auffiel. Nachträglich stellte die IT-Sicherheitsfirma Cloudflare allerdings fest, dass schon mindestens seit dem 1. Dezember auf die Sicherheitslücke ausgerichtete Angriffsversuche im Umlauf waren. Allerdings habe es erst zum Wochenende Attacken auf breiter Front gegeben.

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge auftaucht, zum Beispiel durch eine Nachricht. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Zugleich haben die Systeme großer Anbieter meist mehrschichtige Schutzmechanismen.

IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten am Wochenende daran, die Schwachstelle zu stopfen. Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstebetreiber es installieren. Deshalb baute der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe blockieren soll. Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, betonte Cloudflare.

Die amerikanische IT-Sicherheitsbehörde CISA bildete eine Arbeitsgruppe unter anderem mit der Bundespolizei FBI und dem Geheimdienst NSA. "Diese Schwachstelle birgt ein erhebliches Risiko", stellte die CISA fest. Sie betonte, dass die Sicherheit der Verbraucher von den Maßnahmen der Diensteanbieter abhängen werde.

"Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden", empfahl auch das BSI den Unternehmen. "Aktuell ist noch nicht bekannt, in welchen Produkten diese Bibliothek eingesetzt wird, was dazu führt, dass zum jetzigen Zeitpunkt noch nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind", schränkte das Amt ein.

Die Schwachstelle rückt auch abermals ein bekanntes Problem der Tech-Industrie in den Mittelpunkt: Open-Source-Software wie Log4j wird von kleinen Programmierer-Teams entworfen und gepflegt, die dafür oft gar nicht bezahlt werden. Dann wird sie aber als kostengünstige Lösung von großen Unternehmen übernommen. Open-Source-Software gilt zwar grundsätzlich als sicher, weil ihr Quellcode öffentlich ist und von allen geprüft werden kann - manche Fehler werden dennoch übersehen.

@ dpa.de

Weitere Meldungen

Neue Gespräche zwischen Russland und Ukraine in Paris geplant. Gemeinsam mit Frankreich und Deutschland soll eine Zusammenkunft auf Beraterebene im sogenannten Normandie-Format stattfinden, wie es am Montag aus Élyséekreisen hieß. Inhaltlich solle es darum gehen, humanitäre Maßnahmen auszuhandeln und ein Datum zu bestimmen, an dem die Ukraine und Separatisten über ein Gesetz zum Status des Donbass diskutieren. Ebenso soll es um Überlegungen der Ukraine für die Zeit nach der angestrebten Reintegration der abtrünnigen Gebiete in der Ostukraine gehen. PARIS - Im angespannten Konflikt zwischen Russland und der Ukraine wollen sich Vertreter beider Länder am Mittwoch zu Gesprächen in Paris treffen. (Wirtschaft, 24.01.2022 - 21:40) weiterlesen...

Biden berät mit Scholz und anderen Verbündeten über Ukraine-Konflikt. Für Montagabend war eine gesicherte Videoschalte geplant, an der neben US-Präsident Joe Biden auch Bundeskanzler Olaf Scholz teilnehmen sollte. Das Gespräch sei Teil der "engen Konsultation und Koordinierung mit unseren transatlantischen Verbündeten und Partnern als Reaktion auf Russlands militärische Aufrüstung an den Grenzen der Ukraine", teilte das Weiße Haus mit. WASHINGTON/BERLIN - Die USA stimmen sich auf höchster Ebene mit Deutschland und den anderen europäischen Verbündeten über das weitere Vorgehen im Ukraine-Konflikt ab. (Wirtschaft, 24.01.2022 - 21:39) weiterlesen...

EU stellt Ukraine Unterstützung bei Militärausbildung in Aussicht. Die EU sei dabei, Modalitäten für die Hilfe festzulegen, heißt es in einer am Montag veröffentlichten Erklärung zum Ukrainekonflikt und den Spannungen mit Russland. Zudem sei man entschlossen, die Ukraine weiter bei der Bekämpfung von Cyber- und Hybridgefahren sowie von Desinformation zu unterstützen. BRÜSSEL - Die Außenminister der 27 EU-Staaten haben der Ukraine Unterstützung bei der Militärausbildung in Aussicht gestellt. (Wirtschaft, 24.01.2022 - 21:30) weiterlesen...

Kein Sieger bei erstem Durchgang der Präsidentenwahl in Italien. Weil sich die großen Regierungsparteien im Vorfeld entschlossen hatten, weiße Stimmzettel ohne Namen von Kandidaten abzugeben, erreichte niemand die für eine Wahl nötige Zweidrittelmehrheit unter den Abgeordneten, Senatoren und Regionalvertretern. Das wurde schon während der öffentlichen Auszählung der einzelnen Stimmkarten durch Roberto Fico, den Vorsitzenden des Abgeordnetenhauses, am Montagabend klar. ROM - Beim Auftakt der Präsidentschaftswahl in Italien hat es wie erwartet noch keinen Sieger gegeben. (Wirtschaft, 24.01.2022 - 21:26) weiterlesen...

Ukraine-Konflikt: USA versetzen 8500 Soldaten in erhöhte Bereitschaft. Ministeriumssprecher John Kirby betonte am Montag aber, eine Entscheidung über eine Verlegung dieser Truppen nach Europa sei noch nicht getroffen worden. Die entsprechenden Einheiten seien auf Anweisung von US-Präsident Joe Biden und nach Empfehlung von Verteidigungsminister Lloyd Austin in erhöhte Bereitschaft versetzt worden. WASHINGTON - Wegen der Ukraine-Krise hat die US-Regierung nach Angaben des Verteidigungsministeriums rund 8500 Soldaten in den Vereinigten Staaten in erhöhte Bereitschaft versetzt. (Wirtschaft, 24.01.2022 - 21:25) weiterlesen...

Lauterbach: Nach Omikron-Welle ist Zeit für Lockerungen gekommen. Im Moment müsse man angesichts der steigenden Fallzahlen noch hoffen, "dass wir ohne Verschärfungen hinkommen", sagte er am Montagabend nach Ende der Bund-Länder-Beratungen in der ARD. Wenn die Welle aber überwunden sei, "beispielsweise Mitte Februar", und die Infektionszahlen wieder runtergingen, "dann ist die Zeit für Lockerungen gekommen". BERLIN - Bundesgesundheitsminister Karl Lauterbach (SPD) rechnet damit, dass die Corona-Maßnahmen in Deutschland nach Überschreiten der Omikron-Welle gelockert werden können. (Wirtschaft, 24.01.2022 - 21:24) weiterlesen...