Extrem kritische Sicherheitslücke
bedroht Internetserver weltweit
Deutsches Bundesamt ruft "Warnstufe Rot" aus –
Angreifer können Hintertüre für künftige Attacken einbauen
Die Lücke fiel zuerst bei Microsofts beliebtem
Onlinespiel "Minecraft" auf. Auch viele andere Dienste sind betroffen.
Foto: Kacper Pempel/Reuters
Eine gefährliche Schwachstelle in einer
vielbenutzten Server-Software lässt die Alarmglocken bei IT-Experten
läuten. Das deutsche Bundesamt für Sicherheit in der Informationstechnik
(BSI) setzte am Samstag seine Warnstufe zu der Sicherheitslücke von
Orange auf Rot hoch. Es gebe weltweit Angriffsversuche, die zum Teil
erfolgreich gewesen seien, hieß es zur Begründung. "Das Ausmaß der
Bedrohungslage ist aktuell nicht abschließend feststellbar", warnte das
Amt. Auch das österreichische Cert veröffentlichte eine Warnung.
Die Schwachstelle steckt in einer oft
genutzten Bibliothek für Java-Software. Die Sicherheitslücke kann dafür
sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den
Servern ausführen können. Damit könnten sie zum Beispiel ihre
Schadprogramme dort laufen lassen. Die Schwachstelle ist auf einige
ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt.
Allerdings hat niemand einen vollen Überblick darüber, wo überall die
gefährdeten Versionen von Log4j genutzt werden.
Minecraft lieferte entscheidenden Hinweis
Unsichtbar für die Internet-Nutzer lief am
Wochenende ein Wettlauf zwischen IT-Experten und Online-Kriminellen, die
automatisiert nach anfälligen Servern suchen lassen. "Im Moment liegt
die Priorität darauf, herauszufinden, wie weit verbreitet das Problem
wirklich ist", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure.
"Leider machen nicht nur Sicherheitsteams, sondern auch Hacker
Überstunden, um die Antwort zu finden."
Besonders heimtückisch: Angreifer könnten
jetzt mit Hilfe der Lücke auch nur unauffällige Hintertüren für sich
einbauen, warnte Trost. "Die eigentlichen Angriffe erfolgen sicherlich
erst Wochen oder viele Monate später."
Erschwerend kommt hinzu, dass zumindest einige
Angreifer möglicherweise mehr Vorlauf hatten als zunächst angenommen.
Das Problem wurde öffentlich bekannt, nachdem die Sicherheitslücke am
Donnerstag auf Servern für das Onlinespiel "Minecraft" aufgefallen war.
Nachträglich stellte die IT-Sicherheitsfirma Cloudflare allerdings fest,
dass schon mindestens seit dem 1. Dezember auf die Sicherheitslücke
ausgerichtete Angriffsversuche im Umlauf waren. Allerdings habe es erst
zum Wochenende Attacken auf breiter Front gegeben.
Weit verbreitete Bibliothek
Log4j ist eine sogenannte Logging-Bibliothek.
Sie ist dafür da, diverse Ereignisse im Serverbetrieb wie in einem
Logbuch festzuhalten – zum Beispiel für eine spätere Auswertung von
Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden,
dass in dem Log eine bestimmte Zeichenfolge auftaucht, zum Beispiel
durch eine Nachricht. Damit ist sie eher einfach auszunutzen, was
Experten in große Sorge versetzte. Zugleich haben die Systeme großer
Anbieter meist mehrschichtige Schutzmechanismen.
IT-Sicherheitsfirmen und Java-Spezialisten
arbeiteten am Wochenende daran, die Schwachstelle zu stopfen. Für die
betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es
inzwischen ein Update. Allerdings greift sein Schutz erst, wenn
Dienstebetreiber es installieren. Deshalb baute der Firewall-Spezialist
Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe
blockieren soll. Experten warnten, dass nicht nur Online-Systeme
gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses
Türschloss könnten angegriffen werden, wenn sie Java und Log4j
benutzten, betonte Cloudflare.
Auch US-Geheimdienst beunruhigt
Die amerikanische IT-Sicherheitsbehörde CISA
bildete eine Arbeitsgruppe unter anderem mit der Bundespolizei FBI und
dem Geheimdienst NSA. "Diese Schwachstelle birgt ein erhebliches
Risiko", stellte die CISA fest. Sie betonte, dass die Sicherheit der
Verbraucher von den Maßnahmen der Diensteanbieter abhängen werde.
"Sofern die Hersteller Updates zur Verfügung
stellen, sollten diese umgehend installiert werden", empfahl auch das
BSI den Unternehmen. "Aktuell ist noch nicht bekannt, in welchen
Produkten diese Bibliothek eingesetzt wird, was dazu führt, dass zum
jetzigen Zeitpunkt noch nicht abgeschätzt werden kann, welche Produkte
von der Schwachstelle betroffen sind", schränkte das Amt ein.
Die Schwachstelle rückt auch abermals ein
bekanntes Problem der Tech-Industrie in den Mittelpunkt:
Open-Source-Software wie Log4j wird von kleinen Programmierer-Teams
entworfen und gepflegt, die dafür oft gar nicht bezahlt werden. Dann
wird sie aber als kostengünstige Lösung von großen Unternehmen
übernommen. Open-Source-Software gilt zwar grundsätzlich als sicher,
weil ihr Quellcode öffentlich ist und von allen geprüft werden kann –
manche Fehler werden dennoch übersehen. (APA, red, 12.12.2021)
