Rechnerschränke einer Großrechenanlage. | picture alliance/dpa

IT-Experten Große Sorgen wegen Log4j-Schwachstelle

Stand: 13.12.2021 18:11 Uhr

Unternehmen und Behörden in Deutschland sind wegen möglicher Hackerangriffe in Habachtstellung. Am Wochenende hatte die IT-Sicherheitsbehörde BSI Alarmstufe Rot wegen einer Schwachstelle einer Server-Software ausgerufen. Sie rät nun dringend zu Updates.

Bei den IT-Sicherheitsexperten klingelten spätestens am Wochenende die Alarmglocken. Da hatte das Bundesamt für Sicherheit in der Informationstechnik BSI die höchste Warnstufe ausgesprochen. Es gebe eine extrem kritische Bedrohungslage hieß es aus Bonn: eine Schwachstelle in einer Java-Komponente namens Log4j.

Und die macht den Fachleuten auch zum Wochenstart immer noch größte Sorge, sagt BSI-Präsident Arne Schönbohm: "Es geht darum, dass wir auf der einen Seite gesehen haben, das Produkt wird überall eingesetzt in allen möglichen anderen Produkten. Es ist praktisch ein kleiner Bestandteil von einem übergeordneten Softwareprodukt. Das ist das eine Thema, also große Verbreitung. Das zweite Thema ist, dass es eine Schwachstelle ist, die sehr, sehr einfach auszunutzen ist." Noch wissen die Experten gar nicht, in wie vielen Anwendungen das gefährliche Softwaremodul steckt.

Bundesverwaltung an mehreren Stellen betroffen

Erste Überprüfungen ergaben, dass in der Bundesverwaltung mehrere Stellen betroffen sind. Bislang lägen aber keine Hinweise auf "erfolgreiche Angriffsversuche auf Bundesbehörden oder kritische Infrastruktur" vor, sagte ein Sprecher des Bundesinnenministeriums in Berlin. Die Zahl der Bundesbehörden, bei denen die Schwachstelle entdeckt wurde, liege im einstelligen Bereich.

Der Sprecher sprach dennoch von einer "extrem kritischen Bedrohungslage". Es hätten weltweit bereits "erfolgreiche Kompromittierungen stattgefunden". Es sei nun notwendig, "sofortige Schutzmaßnahmen" zu ergreifen und die Sicherheits-Updates sofort zu installieren.

Verbraucher noch nicht betroffen

Schönbohm berichtete weiter, dass es noch keine unmittelbaren Folgen für die Verbraucher gibt. "Handys und iPads sind davon bisher nicht betroffen, das muss man ganz klar sagen." Betroffen seien vielmehr Behörden und Unternehmen und "am Ende der Verbraucher, der diese Dienstleistungen nutzt".

Wettrennen zwischen Angreifern und Verteidigern

Schönbohm untermauerte die Dringlichkeit zum Handeln: Unternehmen und Behörden sollten so schnell wie möglich Updates durchführen. Die Kriminellen seien sehr aktiv. "Wir sehen jetzt schon einen massenhaften Scan." Es finde ein Wettrennen zwischen Angreifern und Verteidigern statt.

Es sind nicht die gezielten Angriffe, sondern es geht darum, flächendeckend dort hineinzukommen und das auszunutzen, so dass man dann drin ist und andere Hintertüren installieren kann, bevor diese Lücke geschlossen ist.

Diese Hintertüren könnten die Kriminellen dann noch lange ausnutzen. Neben den Updates empfahl er den Unternehmen und Behörden, bestimmte Funktionalitäten zu unterbinden, "wodurch die Angriffsmöglichkeit deutlich geringer ist". Auf die Frage, wie viele Firmen denn betroffen seien, sagte Schönbohm: "Das kann man noch nicht sagen, wir sind in einer Phase der Aufbereitung."

"Das kann so gut wie alles zur Folge haben"

Seine Behörde stehe im Kontakt mit IT-Sicherheitsbehörden anderer Staaten, etwa von den Niederlanden, Frankreich und auch der USA. Er bestätigte, dass bereits Angriffsversuche stattgefunden hätten, wollte aber keine Einzelheiten nennen.

Jede einzelne Software, in der die Bibliothek verwendet wird, muss jetzt schnellstmöglich überarbeitet werden. Denn sonst hätten Hacker einfaches Spiel, erklärt Michael Meier. Er ist Professor für IT-Sicherheit an der Uni Bonn und Leiter der Cyber-Security beim Fraunhofer Institut FKIE:

Ein Angreifer kann sich selbst quasi Zugang zu dem System verschaffen und dort Programme zur Ausführung bringen. Das kann leider so gut wie alles zur Folge haben, was man sich mit einem Computersystem vorstellen kann. Der kann alles löschen, alles kopieren, der kann den Rechner ausschalten und wieder einschalten - also wirklich alles, was man mit Programmen tun kann.

Update für Log4j

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert wird. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzt.

Das Problem fiel am Donnerstag auf Servern für das Online-Spiel "Minecraft" auf. IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten daran, die Schwachstelle zu stopfen.

Ein Kind spielt an einem Laptop Minecraft. | dpa

Das Problem fiel zunächst auf Servern für das Online-Spiel "Minecraft" auf. Bild: dpa

Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstebetreiber es installieren. Deshalb baute der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe blockieren soll.

Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, betonte Cloudflare.

Mit Informationen von Jörg Sauerwein, ARD Bonn

Über dieses Thema berichtete tagesschau24 am 13. Dezember 2021 um 15:00 Uhr.