Eine Sicherheitslücke auf einem weitverbreiteten Softwaremodul führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer „extrem kritischen Bedrohungslage“. Jürgen Schmidt, leitender Redakteur bei Heise Media, erklärt, welche Maßnahmen nun nötig sind und warum sie noch über Wochen und Monate für Arbeit sorgen wird.

Herr Schmidt, das Bundesamt für Sicherheit in der Informationstechnik hat am Samstag seine Warnstufe zu der aktuell entdeckten Sicherheitslücke von Orange auf Rot hochgesetzt. Ist inzwischen eine Entwarnung in Sicht?

Nein, im Gegenteil. Wir werden es demnächst mit einer Welle von Erpressungsfällen zu tun haben. Das Bundesamt für Sicherheit in der Informationstechnik hat richtig gehandelt, indem es vor allem die IT-Abteilungen warnt, ihre Daten schnellstmöglich aus der Schusslinie zu nehmen.

Mehr zum Thema

 

Smart Home: TÜV entwickelt neues Prüfzeichen für Cybersicherheit

 

„Warnstufe Rot“: Behörde warnt vor Sicherheitslücke in Serversoftware

 

Schadsoftware im Anhang: Gefälschte Fritzbox-Mails im Umlauf

Was ist das für eine Sicherheitslücke – wo liegt die Schwachstelle?

Die Schwachstelle steckt in der Bibliothek mit dem Namen Log4j. Durch diese Sicherheitslücke können Angreifer unter Umständen ihren Softwarecode auf fremde Server aufspielen. Das Fatale: Die Lücke lässt sich denkbar einfach ausnutzen, und die Zahl der anfälligen Systeme ist unüberschaubar.

Wie öffnet sich diese Sicherheitslücke?

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Serverbetrieb wie in einem Logbuch festzuhalten. Sie protokolliert die Dienste, zum Beispiel „Ich habe gerade mit Gerät X gesprochen“. Dabei kommt oft die Bibliothek Log4j zum Einsatz, die versucht, diesen Text zu interpretieren.

Wie wird die Schwachstelle dann aktiviert?

Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert wird. Im Hintergrund springt dann ein Mechanismus an, der versucht, die Zeichenkette zu verstehen. Sie kontaktiert dann ein externes System und führt dessen Befehle aus. So entsteht die Sicherheitslücke. Und deshalb heißt der Angriff auch Log4Shell, also „Logging, um einen direkten Zugriff aufs System zu erhalten“.

Jürgen Schmidt ist leitender Redakteur bei Heise Online.

© Quelle: Andreas Wodrich, Heise Medien

Welche Geräte sind davon betroffen?

Log4j ist im Bereich der Java-Software extrem weit verbreitet: Unternehmen wie Amazon, Apple iCloud oder Tesla, Verwaltungen, Buchungssysteme, unzählige große und kleine Firmen, die eine Infrastruktur nutzen, die auf Java basiert.

Wie bemerkt man, ob die Firma betroffen ist?

Einen Angriff wird man in der Regel erst erkennen, wenn es zu spät ist – also etwa eine Erpressungsforderung vorliegt. Aber vorher erkennt man das in der Regel nicht, der Angriff läuft im Hintergrund ab. Es sei denn, man hat seine Infrastruktur darauf vorbereitet, durch Monitoring gezielt Cyberangriffe zu erkennen.

Mehr zum Thema

 

Sicher im Netz: Instagram gibt Tipps für Eltern

 

Cyberpolice als Privatmensch? Für wen so eine Versicherung sinnvoll ist

 

Jeder Zehnte hält Stalkerware zur Überwachung des Partners für akzeptabel

Was kann man tun?

Es wird eine Welle von Sicherheitsupdates von den Softwareherstellern geben. Diese Updates sollte man schnellstmöglich installieren. Unabhängig davon rate ich dazu, selbst eine Bestandsaufnahme zu machen: Also zu schauen, welche meiner Software anfällig sein könnte – und dann gezielt beim Hersteller nachfragen, ob es ein Update gibt. Nicht zuletzt kann man natürlich auch selbst – oder mithilfe eines Experten – testen, ob man bereits Probleme entdecken kann.

Und Ihr Erste-Hilfe-Tipp?

Alle wichtigen Daten und Infos, die durch die aktuelle Schwachstelle nicht mehr sicher sind, sollte man aus der Schusslinie bringen! Wenn ein Dienst verwundbar ist, es aber noch keine Updates gibt, dann muss man Maßnahmen prüfen, wie man ihn aus der Schusslinie bringen kann. Dazu gehört abzuwägen, ob man den Zugang einschränkt oder den Dienst auch im Extremfall zeitweise einstellen sollte.

Müssen sich auch Privatpersonen Sorgen machen?

Auch Privatpersonen können betroffen sein. Smart-TVs, IoT-Geräte oder auch PC-Programme können anfällig sein – aber das zentrale Problem ist die Infrastruktur der Unternehmen.

Rechnen Sie mit einer schnellen Lösung?

Leider nicht. Es ist davon auszugehen, dass es die IT noch über Wochen und Monate hinweg beschäftigen wird. Zudem stehen bald erste Erpressungen durch Cybercrimebanden ins Haus, die über Log4Shell ins Firmennetz gekommen sind. Die Administratoren werden wohl bis nach Weihnachten damit tun haben.