Zehn von zehn Punkten vergibt die US-Datenbank, die Sicherheitslücken in Computersystemen auflistet. Das klingt wie ein Lob, immerhin wurde die maximale Punktzahl erreicht. In Wahrheit ist es andersherum: Je höher die Punktzahl, desto größer das Problem. Und die neu entdeckte Sicherheitslücke, die wahlweise den Spitznamen Shellshock oder Bash-Bug trägt, bekommt diese zehn Punkte gleich drei Mal.
Diese Sicherheitslücke findet auf einer Ebene des Computers statt, auf der direkt Einfluss auf das Betriebssystem genommen werden kann: der Kommandozeile. Betroffen von der aktuellen Sicherheitslücke sind potentiell sämtliche Rechner, auf denen eine Version der Linux- oder Unix-Betriebssysteme installiert sind - dazu gehören auch die meisten Webserver und sämtliche Computer und Laptops von Apple.
Die meisten dieser Betriebssysteme verwenden für die Kommandozeile ein Programm namens Bash (daher auch der Name: Bash-Bug). Dort kann der Nutzer über teilweise komplexe Tastaturbefehle beispielsweise Dateien löschen oder kopieren - Aufgaben, für die in den Betriebssystemen in der Regel grafische Oberflächen enthalten sind, die intuitiver zu bedienen sind. Zum Beispiel ein Ordner, den man anklicken und öffnen kann. Aber auch viele von ihnen machen nichts anderes, als die Mausklicks in Bash-Tastaturbefehle zu übersetzen.
Der Entwickler Stephane Chazelas hat nun entdeckt, dass Bash so benutzt werden kann, dass damit beliebige Schadprogramme ausgeführt werden. Zum Beispiel, indem die Software auf einem Server in einem Hacker-Angriff so modifiziert wird, dass sie gefälschte Befehle an Bash und damit an das Betriebssystem weitergibt. Dann könnte der Angreifer sogar den ganzen Rechner übernehmen, vom Aufspielen eigener Viren bis hin zum Löschen sämtlicher Inhalte ist alles denkbar. Für Experten sei kein großer Aufwand nötig, um solch eine Aktion auszuführen, sagt der IT-Spezialist Andreas Bogk: "Es ist relativ trivial, diese Lücke auszunutzen." Für Benutzer ist das nicht zu verhindern. Zehn von zehn Punkte eben.
Auf Updates warten
Die Sicherheitslücke besteht offenbar bereits seit vielen Jahren, schon frühe Versionen der seit 1984 genutzten Bash-Software sind betroffen.
Der Angriff betrifft vor allem Webserver. Nutzer, die Apple-Computer besitzen, sollten in nächster Zeit darauf achten, ob es neue Updates gibt.* Für manche Linux-Varianten sind bereits Updates verfügbar (zum Beispiel hier), von Apple gibt es momentan noch keines.
Wie viele Systeme ein Update brauchen, ist kaum abzuschätzen. Die Anzahl der Geräte dürfte sehr hoch sein, spekuliert der Sicherheitsexperte Robert Graham in seinem Blog. "Das heißt, es sind Unmengen von alten Geräten da draußen, die an das Internet angeschlossen und von dieser Sicherheitslücke betroffen sind."
Kaum ist bekannt, dass Bash ausgenutzt werden kann, sind schon erste Hacker-Programme im Umlauf, mit denen die Systeme übernommen werden sollen. Das Ausmaß erinnert an den sogenannten "Heartbleed"-Bug, der im April 2014 bekannt geworden war. Mit ihm war es möglich, sogar sensible Informationen wie Passwörter zu stehlen. Heartbleed gilt als eine der schwersten Bedrohungen für die Sicherheit im Internet. Für Graham ist die Sache klar: "Der Bash-Bug ist genauso eine große Sache wie der Heartbleed-Bug."
*Anmerkung: Der Artikel wurde aktualisiert.