IT-Sicherheit: "Extrem kritische Bedrohungslage"

Das Bundesamt für Informationstechnik warnt vor einer Sicherheitslücke in weitverbreiteter Software. Das Innenministerium zeigt sich besorgt - auch Computer der öffentlichen Verwaltung seien angreifbar.

Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, hat am Montag noch einmal eindringlich vor den Folgen einer IT-Sicherheitslücke gewarnt, die durch ein weitverbreitetes Software-Element verursacht wird. Schönbohm sprach von einer "extrem kritischen Bedrohungslage". Seitdem die IT-Sicherheitslücke am Freitag bekannt wurde, sind Experten weltweit alarmiert. Verantwortlich ist ein Softwareschnipsel namens "Log4j". Damit werden auf Webservern Vorgänge in Programmen protokolliert, die auf der Programmiersprache Java basieren.

Die Wahrscheinlichkeit sei groß, dass die Zahl der Angriffe in kommender Zeit zunehmen werde, sagte Schönbohm. Wie groß das Problem insgesamt ist, lasse sich allerdings noch gar nicht bemessen. Auch ein Sprecher von Bundesinnenministerin Nancy Faeser (SPD) zeigte sich besorgt. Der Bundesregierung zufolge gab es bereits weltweit Angriffsversuche auf Systeme und Server. Nach Einschätzung des Ministeriums könne es Cyberkriminellen so gelingen, betroffene Systeme "vollständig zu übernehmen". In Deutschland sind den Behörden bislang keine erfolgreichen Angriffe bekannt, was aber nicht heiße, dass es sie nicht gab, wie Schönbohm sagte. Eine einstellige Zahl öffentlicher Systeme sei jedoch "betroffen". Damit dürften öffentliche Systeme gemeint sein, die wegen der Sicherheitslücke angreifbar wären.

"Bisher haben wir keinerlei Indizien dafür, dass wir kompromittiert wurden", hieß es am Montagmittag aus dem ITZ-Bund, dem zentralen IT-Dienstleister der Bundesverwaltung. Alle Sicherheitssysteme seien am Wochenende in Alarmbereitschaft versetzt worden. Man stehe in engem Austausch mit dem BSI, das die Gegenmaßnahmen koordiniert. Das BSI hatte am Samstag die Warnstufe von Orange auf die höchste Kategorie Rot heraufgesetzt.

Gefährdet sind allerdings auch Unternehmen und deren weitverbreitete Online-Cloud-Dienste, etwa von Apple oder Amazon sowie das besonders unter Jugendlichen beliebte Computerspiel Minecraft. Insgesamt verweist das BSI auf eine "unvollständige Liste" von gefährdeten Produkten, die von mehr als 140 Unternehmen stammen. Amazon verweist auf Anfrage lediglich auf einen Blog-Eintrag, in dem es heißt: "Wir beobachten dieses Problem aktiv", man arbeite daran, es für alle Cloud-Dienste zu beheben. Apple antwortet auf Anfrage: "Wir haben derzeit keine Stellungnahme zu diesem Thema."

Private Nutzer können nicht viel tun, um sich gegen die Schwachstelle zu schützen, außer die genutzte Software aktuell zu halten und Updates zu installieren. Die betroffenen Software-Anbieter müssen die Sicherheitslücke selbst schließen, erste Maßnahmen dafür gibt es bereits. Doch es besteht die Gefahr, dass Hacker die Einfallstüren jetzt nutzen, um auch Wochen und Monate später noch Angriffe durchführen zu können.

Hacker hätten die Sicherheitslücke bereits genutzt, um sogenannte Kryptominer zu installieren, sagte der BSI-Präsident. Damit ist gemeint, dass Kriminelle Programme auf fremden Servern installieren, um Kryptowährungen wie Bitcoin erzeugen zu können.