Wettlauf um Sicherheitslücke in Server-Software

13.12.2021
Eine frisch entdeckte Sicherheitslücke droht, Server im Internet auf breiter Front Angreifern auszuliefern. Wie weit sie verbreitet ist, war zunächst zwar unklar. Doch rund um die Welt lief am Wochenende ein Wettlauf mit Online-Kriminellen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm wegen einer Schwachstelle, die auf breiter Front Server im Netz bedrohen könnte. Foto: Matthias Balk/dpa
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm wegen einer Schwachstelle, die auf breiter Front Server im Netz bedrohen könnte. Foto: Matthias Balk/dpa

Berlin (dpa) - Eine gefährliche Schwachstelle in einer vielbenutzten Server-Software lässt die Alarmglocken bei IT-Experten läuten. Das Bundesamt für Sicherheit in der Informationstechnik ( BSI) hat seine Warnstufe zu der Sicherheitslücke von Orange auf Rot hochgesetzt.

Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es zur Begründung. «Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar», warnte das Amt, das auch für die IT-Sicherheit der Bundesregierung verantwortlich ist.

Sicherheitslücke in Bibliothek für Java-Software

Die Schwachstelle steckt in einer oft genutzten Bibliothek für die Java-Software. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen können. Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen. Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.

Wie weit verbreitet ist das Problem?

Unsichtbar für die Internet-Nutzer lief am Wochenende ein Wettlauf zwischen IT-Experten und Online-Kriminellen, die automatisiert nach anfälligen Servern suchen lassen. «Im Moment liegt die Priorität darauf, herauszufinden, wie weit verbreitet das Problem wirklich ist», sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. «Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden.»

Besonders heimtückisch: Angreifer könnten jetzt mit Hilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost. «Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später.»

Erschwerend kommt hinzu, dass zumindest einige Angreifer möglicherweise mehr Vorlauf hatten als zunächst angenommen. Das Problem wurde öffentlich bekannt, nachdem die Sicherheitslücke auf Servern für das Online-Spiel «Minecraft» auffiel. Nachträglich stellte die IT-Sicherheitsfirma Cloudflare allerdings fest, dass schon mindestens seit dem 1. Dezember auf die Sicherheitslücke ausgerichtete Angriffsversuche im Umlauf waren. Allerdings habe es erst zum Wochenende Attacken auf breiter Front gegeben.

Schwachstelle ist einfach auszunutzen

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge auftaucht, zum Beispiel durch eine Nachricht. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Zugleich haben die Systeme großer Anbieter meist mehrschichtige Schutzmechanismen.

IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten am Wochenende daran, die Schwachstelle zu stopfen. Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstebetreiber es installieren. Deshalb baute der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe blockieren soll. Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, betonte Cloudflare.

Hersteller-Updates umgehend installieren

Die amerikanische IT-Sicherheitsbehörde CISA bildete eine Arbeitsgruppe unter anderem mit der Bundespolizei FBI und dem Geheimdienst NSA. «Diese Schwachstelle birgt ein erhebliches Risiko», stellte die CISA fest. Sie betonte, dass die Sicherheit der Verbraucher von den Maßnahmen der Diensteanbieter abhängen werde.

«Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden», empfahl auch das BSI den Unternehmen. «Aktuell ist noch nicht bekannt, in welchen Produkten diese Bibliothek eingesetzt wird, was dazu führt, dass zum jetzigen Zeitpunkt noch nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind», schränkte das Amt ein.

Fehler in Open-Source-Software

Die Schwachstelle rückt auch abermals ein bekanntes Problem der Tech-Industrie in den Mittelpunkt: Open-Source-Software wie Log4j wird von kleinen Programmierer-Teams entworfen und gepflegt, die dafür oft gar nicht bezahlt werden. Dann wird sie aber als kostengünstige Lösung von großen Unternehmen übernommen. Open-Source-Software gilt zwar grundsätzlich als sicher, weil ihr Quellcode öffentlich ist und von allen geprüft werden kann - manche Fehler werden dennoch übersehen.

© dpa-infocom, dpa:211213-99-363290/4

BSI-Warnmeldung

Blogeintrag von Cloudflare

Cloudflare-Tweet zum ersten Angriffversuch


Verfasser: dpa-infocom GmbH

KEYWORDS

TEILEN


Das könnte Sie auch interessieren
Nach den nun veröffentlichten Patches gegen «Spectre» und «Meltdown» ist mit weiteren Schwachstellen bei Computer-Chips zu rechnen. Foto: Ralf Hirschberger/dpa-Zentralbild Experte: «Spectre» und «Meltdown» sind erst der Anfang Die größten Schleusen sind geschlossen, doch Entwarnung gibt es längst nicht. Die Chip-Sicherheitsprobleme «Spectre» und «Meltdown» haben die Computer-Industrie erschüttert. Und sie ebnen den Weg für eine ganz neue Klasse von Angriffen.
Ein IT-Experte hält es für wahrscheinlich, dass die Sicherheitslücke «Meltdown» schon bald genutzt wird. Foto: Jochen Lübke/dpa IT-Experte warnt vor Schadcode für «Meltdown» Sicherheitsforscher Anders Fogh hat entscheidend zur Entdeckung von «Meltdown» und «Spectre» beigetragen. Er schätzt, dass es schon in Kürze erste Angriffe auf Computer geben wird. Funktionierende Werkzeuge dafür kursierten bereits im Netz.
Internetkamera im Kühlschrank: Der Fortschritt in der digitalen Welt birgt auch oft neue Gefahren. Foto: Florian Schuh Feind in der Heizung: Sicherheit für das Internet der Dinge Apps für Wohnzimmerlampen, surfende Fernseher und der Schrittzähler am Arm: Das Internet der Dinge ist im Alltag angekommen. Für Verbraucher ist das einerseits praktisch, anderseits riskant. Denn Hackerangriffe gibt es auch jenseits von PC und Smartphone.
Anhang öffnen? - Niemals, wenn man so etwas nicht erwartet oder den Absender nicht kennt. Foto: Karolin Krämer Die größten Bedrohungen im Netz Ob Ransomware, Phishing oder Adware - so reich das Internet an Möglichkeiten ist, so zahlreich sind auch die Gefahren und digitalen Stolperfallen, die im Netz lauern. Doch niemand ist ihnen schutzlos ausgeliefert - wenn er die Bedrohungen erkennt.