Wettlauf um Server-Sicherheitslücke

BSI löst Alarmstufe rot aus

13. Dezember 2021, 11:10 Uhr | Quelle: dpa / Redaktion: Martin Fryba | Kommentar(e)
Virus Alarm, Cybersicherheit
© georgejmclittle-123-rf

Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j ist „trival ausnutzbar“ und kann zu einer vollständigen Systemübernahme führen. BSI und US-amerikanische Behörden sind alarmiert, doch das ganze Ausmaß der Bedrohungslage kann aktuell nicht eingeschätzt werden.

Eine gefährliche Schwachstelle in einer vielbenutzten Server-Software lässt die Alarmglocken bei IT-Experten läuten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Samstag seine Warnstufe zu der Sicherheitslücke von Orange auf Rot hoch. Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es zur Begründung. „Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar“, warnt das BSI.

Die Schwachstelle steckt in einer oft genutzten Bibliothek für die Java-Software. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen können. Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen. Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.

Heißes Wochenende und kein Ende
Unsichtbar für die Internet-Nutzer lief am Wochenende ein Wettlauf zwischen IT-Experten und Online-Kriminellen, die automatisiert nach anfälligen Servern suchen lassen. „Im Moment liegt die Priorität darauf, herauszufinden, wie weit verbreitet das Problem wirklich ist", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. „Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden.“ Besonders heimtückisch: Angreifer könnten jetzt mit Hilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost. „Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später.“

Gefahr besteht seit 2 Wochen schon
Erschwerend kommt hinzu, dass zumindest einige Angreifer möglicherweise mehr Vorlauf hatten als zunächst angenommen. Das Problem wurde öffentlich bekannt, nachdem die Sicherheitslücke am Donnerstag auf Servern für das Online-Spiel „Minecraft“ auffiel. Nachträglich stellte die IT-Sicherheitsfirma Cloudflare allerdings fest, dass schon mindestens seit dem 1. Dezember auf die Sicherheitslücke ausgerichtete Angriffsversuche im Umlauf waren. Allerdings habe es erst zum Wochenende Attacken auf breiter Front gegeben.

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge auftaucht, zum Beispiel durch eine Nachricht. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Zugleich haben die Systeme großer Anbieter meist mehrschichtige Schutzmechanismen.

Anbieter zum Thema

zu Matchmaker+

  1. BSI löst Alarmstufe rot aus
  2. Ausgerechnet Open Source verwundbar

Das könnte Sie auch interessieren

Verwandte Artikel

Bundesamt für Sicherheit in der Informationstechnik (BSI)

securityXpert

Matchmaker+