Computer, Internet

Die Software ist weltweit verbreitet - und bietet ein klaffendes Loch für Angreifer.

13.12.2021 - 18:34:43

Internet - BSI zu Server-Schwachstelle: Verbraucher nicht betroffen. Noch ist nicht klar, welche Schäden zu erwarten sind. Verbraucher sind aber wohl - noch - auf der sicheren Seite.

Bonn - Nach drastischen Warnungen vor einer Schwachstelle in einer vielgenutzten Server-Software ist das Ausmaß der Bedrohung weiterhin unklar. Die deutsche IT-Sicherheitsbehörde BSI sah zunächst keine unmittelbaren Folgen für Verbraucher.

«Handys und iPads sind davon bisher nicht betroffen, das muss man ganz klar sagen», sagte der BSI-Präsident Arne Schönbohm am Montag in Bonn. Betroffen seien vielmehr Behörden und Unternehmen und «am Ende der Verbraucher, der diese Dienstleistungen nutzt».

Am Wochenende hatte das BSI wegen einer Sicherheitslücke in einer viel benutzten Bibliothek der Java-Software die Warnstufe Rot ausgerufen. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen Schadprogramme auf Servern von Diensteanbietern laufen lassen können. Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt. Schönbohm untermauerte am Montag die Dringlichkeit zum Handeln. Unternehmen und Behörden sollten so schnell wie möglich Updates durchführen.

Wettrennen zwischen Angreifern und Verteidigern

Aus Bundesbehörden oder Unternehmen, die zur kritischen Infrastruktur zählen, gebe es bisher keine Hinweise auf erfolgreiche Angriffe, sagte ein Sprecher des Bundesinnenministeriums. Die Fälle in der Bundesverwaltung, wo diese Schwachstelle vorliege, bewegten sich «im einstelligen Bereich». Auch in diesen Einzelfällen habe es keine erfolgreichen Angriffe gegeben.

Kriminelle seien sehr aktiv, sagte Schönbohm. «Wir sehen jetzt schon einen massenhaften Scan.» Es finde ein Wettrennen zwischen Angreifern und Verteidigern statt. «Es sind nicht die gezielten Angriffe, sondern es geht darum, flächendeckend dort hineinzukommen und das auszunutzen, so dass man dann drin ist und andere Hintertüren installieren kann, bevor diese Lücke geschlossen ist.»

Diese Hintertüren könnten die Kriminellen dann noch lange ausnutzen. Neben den Updates empfahl er den Unternehmen und Behörden, bestimmte Funktionalitäten zu unterbinden, «wodurch die Angriffsmöglichkeit deutlich geringer ist».

Noch in Phase der Aufbereitung

Auf die Frage, wie viele Firmen denn betroffen seien, sagte Schönbohm: «Das kann man noch nicht sagen, wir sind in einer Phase der Aufbereitung.» Seine Behörde stehe im Kontakt mit IT-Sicherheitsbehörden anderer Staaten, etwa von den Niederlanden, Frankreich und auch der USA. Ob bald Entwarnung gegeben werden könne, hänge davon ab, wie schnell Unternehmen die Schwachstelle schließen.

Nach Erkenntnissen der IT-Sicherheitsfirma F-Secure gelang es Angreifern bereits zum Teil, Erpressungs-Trojaner und Software zum Erstellen von Kryptowährungen auf den Servern zu installieren. «Log4j könnte die kritischste Schwachstelle aller Zeiten sein. Insbesondere, da das Problem herstellerübergreifend besteht», sagte F-Secure-Experte Rüdiger Trost.

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge auftaucht, zum Beispiel durch eine Nachricht. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Zugleich haben die Systeme großer Anbieter meist mehrschichtige Schutzmechanismen.

© dpa-infocom, dpa:211213-99-369309/3

@ dpa.de

Weitere Meldungen

Umfrage - Mehrheit sieht Deutschland für Klimawandel schlecht gerüstet. Dieser Meinung ist eine Mehrheit der Bevölkerung. Auch bei anderen Digitalisierungsbereichen sehen viele großen Bedarf. Deutschland ist technologisch schlecht für die Klimawende aufgestellt. (Wissenschaft, 20.01.2022 - 14:40) weiterlesen...

Umfrage: Mehrheit sieht Deutschland für Klimawandel schlecht gerüstet. Bei einer repräsentativen Meinungsumfrage von Civey, die von Microsoft Deutschland in Auftrag gegeben wurde, sagten rund drei Viertel der Befragten, dass Deutschland technologisch nicht gut auf die Wende hin zur Klimaneutralität vorbereitet sei. Nur 15,5 Prozent der Befragten zeigten sich hier optimistisch. BERLIN - Für den Fortschritt in der Klimawende reicht nach Einschätzung der deutschen Bevölkerung die derzeitige technologische Ausstattung und Kompetenz am Standort Deutschland nicht aus. (Wirtschaft, 20.01.2022 - 10:38) weiterlesen...

Zahlen von Gartner - Halbleiter-Umsätze 2021 um ein Viertel gestiegen. Die Hersteller freut's. Vor allem das Geschäft mit Speicherchips floriert - und katapultiert einen südkoreanischen Anbieter an die Weltspitze. Halbleiter sind weltweit knapp und stark nachgefragt. (Wissenschaft, 19.01.2022 - 13:48) weiterlesen...

Winterspiele in Peking - Experten: Sicherheitslücken in chinesischer Olympia-App. Erst gab es Sorge vor Spionage, jetzt zeigen sich Schlupflöcher in der Verschlüsselung. Zum Kampf gegen die Pandemie sollen Teilnehmer der Winterspiele in Peking die App «My2022» auf ihr Handy laden. (Sport, 19.01.2022 - 12:12) weiterlesen...

Experten bemängeln Sicherheitslücken in chinesischer Olympia-App. PEKING - Ausländische Forscher haben Sicherheitsmängel in der chinesischen Olympia-App "My2022" kritisiert. Wegen einer "einfachen, aber verheerenden Schwachstelle" in der Verschlüsselungstechnik könnten persönliche Informationen bei der Übertragung abgefangen werden, warnten Forscher des renommierten Citizen Lab der kanadischen Universität von Toronto am Dienstag (Ortszeit) in einem Bericht. Athleten und andere Teilnehmer der Olympischen Winterspiele vom 4. bis 20. Februar in Peking müssen auf Geheiß der Organisatoren das Handy-Programm zur Vorbeugung gegen die Pandemie benutzen. Experten bemängeln Sicherheitslücken in chinesischer Olympia-App (Boerse, 19.01.2022 - 12:10) weiterlesen...

Marktforscher: Halbleiter-Umsätze 2021 um ein Viertel gestiegen. Die Branche nahm nach Berechnungen der Analysefirma Gartner rund 583,5 Milliarden Dollar (514,5 Mrd Euro) ein. Für den Preisanstieg seien auch höhere Logistik- und Rohstoffkosten verantwortlich gewesen. Die Marktforscher machten keine Angaben dazu, zu welchen Anteilen das Umsatzplus jeweils auf Preiserhöhungen und den Ausbau der Produktion zurückging. STAMFORD - Preiserhöhungen im Zuge der globalen Chip-Knappheit haben die Halbleiter-Umsätze im vergangenen Jahr laut Marktforschern um ein Viertel hochspringen lassen. (Boerse, 19.01.2022 - 12:00) weiterlesen...