IT-Sicherheitsexperten schlagen Alarm: Eine Schwachstelle in einem auf vielen Computern verbreiteten Software-Modul führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer "extrem kritischen Bedrohungslage". Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es zur Begründung unter anderem. "Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar."
Die Behörde erhöhte deswegen am Samstag ihre bestehende Cyber-Sicherheitswarnung für die Java-Bibliothek Log4j auf die Warnstufe Rot. Es handelt sich dabei um die höchste Kategorie der vierstufigen BSI-Skala für Cyber-Sicherheitswarnungen und um die gegenwärtig einzige Meldung in dieser Stufe.
Ein ganz normales Smartphone, ein ganz normaler Tag: Die SZ hat untersucht, wie viele Informationen ohne unser Wissen von einem Handy abfließen - und mit wem es Kontakt aufnimmt.
Die Einschätzung beruhe auf der sehr weiten Verbreitung dieses Software-Elements und den damit verbundenen Auswirkungen auf unzählige weitere Produkte, teilte das BSI mit. Zudem könne die Schwachstelle ohne größere Schwierigkeiten ausgenutzt werden. Damit könnten Angreifer das betroffene System vollständig übernehmen. Es gebe bereits Massen-Scans in Deutschland und auf der ganzen Welt sowie versuchte und erfolgreiche Angriffe. Zwar existiere bereits ein Sicherheits-Update für die Java-Bibliothek Log4j. Jedoch müssten auch alle Produkte, die Log4j verwenden, angepasst werden.
"Aktuell ist noch nicht bekannt, in welchen Produkten diese Bibliothek eingesetzt wird, was dazu führt, dass zum jetzigen Zeitpunkt noch nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind", schränkte das BSI ein. "Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden", empfahl das Amt den Diensteanbietern.
Alle Meldungen zur aktuellen Situation in der Ukraine und weltweit - im SZ am Morgen und SZ am Abend. Unser Nachrichten-Newsletter bringt Sie zweimal täglich auf den neuesten Stand. Hier kostenlos anmelden.
Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert wird. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Das Problem fiel am Donnerstag auf Servern für das Online-Spiel "Minecraft" auf.
IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten daran, die Schwachstelle zu stopfen. So baute der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe blockieren soll. Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, betonte etwa Cloudflare.
Die IT-Sicherheitsbranche sah einen Wettlauf mit Online-Kriminellen, die ihrerseits automatisiert nach anfälligen Servern suchen lassen. "Im Moment liegt die Priorität darauf, herauszufinden, wie weit verbreitet das Problem wirklich ist", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. "Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden." Angreifer könnten jetzt mit Hilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost. "Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später."
BSI-Präsident Arne Schönbohm und der frühere Bundesinnenminister Horst Seehofer hatten zuletzt von einer zunehmenden Gefährdung durch Cyberangriffe gewarnt. Im vergangenen Jahr wurden dem BSI zufolge 144 Millionen neue Schadprogramm-Varianten festgestellt, was ein Zuwachs von 22 Prozent im Vergleich zum Vorjahr sei.
