Hände tippen auf einer beleuchteten Tastatur | picture alliance / NurPhoto

Server-Software betroffen BSI warnt vor Sicherheitslücke

Stand: 12.12.2021 05:46 Uhr

Das Bundesamt für Sicherheit in der Informationstechnik schlägt Alarm wegen einer Schwachstelle, die auf breiter Front Server im Netz bedrohen könnte. Die Behörde setzte die Warnstufe mit Blick auf die Sicherheitslücke auf Rot hoch.

Eine Schwachstelle in einem auf vielen Computern verbreiteten Software-Modul führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer "extrem kritischen Bedrohungslage". Die Behörde setzte deshalb seine Warnstufe zu der Sicherheitslücke von Orange auf Rot hoch.

Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es unter anderem zur Begründung. "Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar."

Suche nach gefährdeten Versionen

Die Schwachstelle steckt in einer vielbenutzten Bibliothek für die Java-Software. Die Sicherheitslücke hat zur Folge, dass Angreifer unter Umständen ihren Softwarecode auf die Server aufspielen können. Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen. Die Schwachstelle ist auf einige Versionen der Bibliothek mit dem Namen Log4j beschränkt.

Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden. "Aktuell ist noch nicht bekannt, in welchen Produkten diese Bibliothek eingesetzt wird, was dazu führt, dass zum jetzigen Zeitpunkt noch nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind", schränkte das BSI ein. Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden, empfiehlt das Amt den Diensteanbietern.

Installation von Updates notwendig

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert wird. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzt.

Das Problem fiel am Donnerstag auf Servern für das Online-Spiel "Minecraft" auf. IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten daran, die Schwachstelle zu stopfen. Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstebetreiber es installieren. Deshalb baute der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe blockieren soll.

Ein Kind spielt an einem Laptop Minecraft. | dpa

Das Problem fiel zunächst auf Servern für das Online-Spiel "Minecraft" auf. Bild: dpa

Experten: Nicht nur Online-Systeme gefährdet

Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, betonte Cloudflare.

Die IT-Sicherheitsbranche sieht einen Wettlauf mit Online-Kriminellen, die ihrerseits automatisiert nach anfälligen Servern suchen lassen. "Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden", sagt Rainer Trost von der IT-Sicherheitsfirma F-Secure. Angreifer könnten jetzt auch nur unauffällige Hintertüren für sich einbauen, warnt Trost. "Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später."

Über dieses Thema berichtete Deutschlandfunk am 12. Dezember 2021 um 08:00 Uhr in den Nachrichten.