BSI: Warnstufe Rot
Software-Sicherheitslücke alarmiert Bundesamt
265475161.jpg
Noch ist unklar, wie viele Server von der
Sicherheitslücke betroffen sind.
(Foto: picture alliance / Zoonar)
Die meisten Internetnutzer bekommen nicht mit,
dass sich derzeit im Hintergrund ein Wettrennen abspielt. Es geht um
eine frisch entdeckte Software-Sicherheitslücke, die viele Server
bedrohen soll. Online-Kriminelle suchen nach dem Einfallstor,
IT-Experten nach der Lösung.
IT-Sicherheitsexperten schlagen Alarm wegen
einer Schwachstelle, die auf breiter Front Server im Netz bedroht. Das
Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am
Samstag seine Warnstufe zu der Sicherheitslücke von Orange auf Rot hoch.
Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen
seien, hieß es zur Begründung unter anderem. "Das Ausmaß der
Bedrohungslage ist aktuell nicht abschließend feststellbar."
Die Schwachstelle steckt in einer viel
benutzten Bibliothek für die Java-Software. Die Sicherheitslücke kann
dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den
Servern ausführen können. Damit könnten sie zum Beispiel ihre
Schadprogramme dort laufen lassen. Die Schwachstelle ist auf einige
Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat
niemand einen vollen Überblick darüber, wo überall die gefährdeten
Versionen von Log4j genutzt werden.
"Aktuell ist noch nicht bekannt, in welchen
Produkten diese Bibliothek eingesetzt wird, was dazu führt, dass zum
jetzigen Zeitpunkt noch nicht abgeschätzt werden kann, welche Produkte
von der Schwachstelle betroffen sind", schränkte das BSI ein. "Sofern
die Hersteller Updates zur Verfügung stellen, sollten diese umgehend
installiert werden", empfahl das Amt den Diensteanbietern.
Schwachstelle seit Donnerstag bekannt
Log4j ist eine sogenannte Logging-Bibliothek.
Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem
Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von
Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden,
dass in dem Log eine bestimmte Zeichenfolge gespeichert wird. Damit ist
sie eher einfach auszunutzen, was Experten in große Sorge versetzt.
Das Problem fiel am Donnerstag auf Servern für
das Online-Spiel "Minecraft" auf. IT-Sicherheitsfirmen und
Java-Spezialisten arbeiten am Wochenende daran, die Schwachstelle zu
stopfen. Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek
gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn
Dienstebetreiber es installieren. Deshalb baute der Firewall-Spezialist
Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe
blockieren soll.
Experten warnten, dass nicht nur
Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein
kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und
Log4j benutzten, betonte Cloudflare. Die IT-Sicherheitsbranche sah einen
Wettlauf mit Online-Kriminellen, die ihrerseits automatisiert nach
anfälligen Servern suchen lassen. "Im Moment liegt die Priorität darauf,
herauszufinden, wie weit verbreitet das Problem wirklich ist", sagte
Rainer Trost von der IT-Sicherheitsfirma F-Secure. "Leider machen nicht
nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu
finden." Angreifer könnten jetzt mithilfe der Lücke auch nur
unauffällige Hintertüren für sich einbauen, warnte Trost. "Die
eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate
später."
https://www.n-tv.de/technik/Software-Sicherheitsluecke-alarmiert-Bundesamt-article22993423.html