Eine am Freitag entdeckte gefährliche Schwachstelle in einer weltweit vielbenutzten Server-Software lässt die Alarmglocken bei IT-Experten läuten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Samstag seine Warnstufe zu der Sicherheitslücke von Orange auf Rot hoch. Ein erfolgreiches Ausnutzen der Sicherheitslücke ermögliche "eine vollständige Übernahme des betroffenen Systems", erklärte die Behörde. Was Sie zu diesem Fall wissen müssen.
1. Wo liegt die Schwachstelle genau?
Die Schwachstelle steckt in den Tiefen der Programmiersprache Java, die zum Betrieb von Servern genutzt wird. Genauer gesagt in der Java-Bibliothek Log4j, die dafür da ist, diverse Ereignisse im Server-Betrieb zu protokollieren, sie also wie in einem Logbuch festzuhalten.
Die Gefahr besteht dann, wenn Log4j verwendet wird, um eine vom Angreifer kontrollierte Zeichenkette zu protokollieren. Die Zeichenkette kann einfacher Text sein wie "Heute ist Montag", kann aber eben auch ein Befehl sein, wie einen Server zu kontaktieren.
Zum Beispiel: Der Anbieter eines Web-Shops verwendet Log4j auf seinem Server. Log4j protokolliert nun den Befehl, Kontakt zu einem bestimmten Server - den des Angreifers - aufzunehmen, von diesem Java-Code entgegenzunehmen und diesen auszuführen. So können Schadprogramme auf die Server des Shopping-Anbieters gelangen, mit denen der Angreifer das System im Extremfall komplett übernehmen kann.
2. Wie gefährlich ist die Lücke?
Extrem gefährlich, weil die Schwachstelle sehr leicht ausnutzbar ist, im Netz kursiert ein Proof-of-Concept, eine Art Bedienungsanleitung dafür. Und weil die komplette Übernahme eines Systems möglich ist, hat das BSI die Warnstufe Rot ausgerufen.
3. Wie kann ich mich gegen Log4j schützen?
Als Otto Normalinternetnutzer kann man aktuell nicht viel tun, außer Abwarten und die Ruhe bewahren. Positiv ist, dass - wie "Heise" schreibt - normale Endnutzer nicht im Fokus von Angreifern stehen, sondern eher die Betreiber von Online-Diensten und Firmen. Diese könnten, sollten und müssten ihre Systeme auf den neuesten Stand bringen und gegen ein Ausnutzen der Lücke schützen.
Wer sich für die recht komplexen technischen Möglichkeiten interessiert, mit denen das gelingen kann, kann sich hier die Empfehlungen des BSI durchlesen.
Ganz machtlos ist man allerdings auch als Nutzer nicht. Vor allem Prävention ist möglich. Log4j könnte nämlich nicht zuletzt als Einfallstor für Ransomware genutzt werden. Dabei handelt es sich um Schadsoftware, die auf das eigene Gerät gelangt, dieses sperrt, unbrauchbar macht und auf dem Sperrbildschirm eine Lösegeld-Zahlung für die Wieder-Freigabe fordert.
Vor solchen Angriffen muss naturgemäß weniger Angst haben, wer seine Daten regelmäßig, etwa auf einer externen Festplatte schützt. Teils bleibt die Sperrung zwar auch nach einem Zurücksetzen auf Werkseinstellungen aktiv und das Gerät muss ausgetauscht werden, aber immerhin haben sie ihre wichtigsten Fotos, Dokumente und Co. gesichert. Die Daten sind meist wohl wertvoller als ein Laptop oder PC, zumal ja auch die Lösegeld-Zahlung noch fällig würde - von der nicht sicher ist, ob sie wirklich zur Freigabe des Rechners führt.
Die Gefahr zum Opfer einer solchen Erpressungs-Attacke zu werden, besteht im Übrigen nicht nur wegen Log4j oder erst seit Neuestem. Oftmals gelangt die Schadsoftware durch Nachlässigkeit des Nutzers auf das Gerät. Daher gilt immer: Klicken Sie keine Links aus Quellen an, die Sie nicht kennen; öffnen Sie keine Mail-Anhänge, wenn Sie den Absender nicht kennen und keine Mail erwarten; laden Sie keine Apps außerhalb der offiziellen App-Stores herunter.
4. Wer ist von der Sicherheitslücke betroffen?
Systeme und Anwendungen auf der ganzen Welt. Das Problem wurde öffentlich bekannt, nachdem die Sicherheitslücke am Donnerstag auf Servern für das Online-Spiel "Minecraft" auffiel. Aber auch bekannte Firmen wie Apple, Twitter, Amazon, Tesla und viele andere namhafte Firmen und Onlinedienste nutzen diese Software-Bibliothek und sind damit grundsätzlich angreifbar. Ebenso Behörden und Unternehmen.
Die betroffenen Log4j-Versionen 2.0 bis 2.14.1. sind sehr weit verbreitet - auch wenn keine genauen Zahlen bekannt sind. Aktuell ist nach BSI-Angaben noch nicht bekannt, in welchen Produkten diese Bibliothek eingesetzt wird. Experten warnen, dass nicht nur Online-Systeme gefährdet seien, sondern auch Anwendungen wie etwa ein QR-Scanner oder ein kontaktloses Türschloss, wenn sie Java und Log4j benutzen.
Dem BSI sind welt- und deutschlandweite Massen-Scans nach anfälligen Systemen ebenso bekannt wie erste erfolgreiche Kompromittierungen von Servern. Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aber noch nicht abschließend feststellbar. Das BSI erwartet, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden.
Nach Informationen des "Spiegel" sind auch mehrere Stellen in der Bundesverwaltung von der schwerwiegenden Schwachstelle in der Protokollierungsbibliothek "Log4j" der Programmiersprache Java betroffen. "Bei einer Schwachstelle mit dieser Verbreitung ist auch die Bundesverwaltung betroffen", hieß es dem Bericht zufolge aus dem BSI. Der Behörde seien einzelne verwundbare Systeme bekannt und es seien bereits entsprechende Schutzmaßnahmen eingeleitet.
Bisher liegen demnach keinerlei Hinweise vor, dass die Schwachstelle in der Bundesverwaltung tatsächlich ausgenutzt worden ist. Zumindest in einigen Fällen sei das Problem nach Erkenntnissen des BSI bereits behoben worden.
Auch als einfacher Internet-Nutzer kann man indirekt betroffen sein, wenn man online eine Anwendung nutzt, die mit Log4j arbeitet. Das kann theoretisch überall sein: in Web-Shops, beim Online-Banking oder in Diskussionsforen. Geschlossen werden kann die Lücke nur durch die jeweiligen Betreiber, der die notwendigen Sicherheitsupdates aufspielt.
Besonders heimtückisch: Angreifer könnten mit Hilfe der Lücke auch unauffällige Hintertüren für sich einbauen. Die eigentlichen Angriffe erfolgen nach Einschätzungen von Sicherheitsexperten erst in einigen Wochen oder Monaten. Auch WDR-Netzexperte Jörg Schieb rechnet damit, dass Angreifer jetzt Hintertüren einbauen, die sie viel später verwenden und dann in befallene Systeme eindringen, wenn sich die Aufregung gelegt hat. "Man muss damit rechnen, dass Angreifer sensible Nutzerdaten, Zugangsdaten, Zahlungsdaten abgreifen, denn mit solchen Daten lässt sich Geld verdienen", sagte WDR-Netzexperte Jörg Schieb am Montagmorgen im BR24.
5. Was tun IT-Sicherheitsfirmen und Behörden dagegen?
IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten am Wochenende daran, die Schwachstelle zu stopfen. Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstebetreiber es installieren.
Das BSI riet insbesondere Unternehmen und Organisationen, Updates einzuspielen, sobald diese für einzelne Produkte verfügbar sind. Außerdem sollten "alle Systeme, die verwundbar waren, auf eine Kompromittierung untersucht werden".
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!