piwik no script img

taz zahl ich

Sicherheitslücke Log4ShellWarnstufe Rot

Die Sicherheitslücke Log4jShell gefährdet weltweit Millionen Online-Anwendungen und Apps. Nicht wenige warnen vor drastischen Folgen.

Ein Kind ist als ein Charakter des Videospiels Minecraft an Halloween verkleidet. Es hat eine große, breite Maske auf, die ein verpixeltes Gesicht zeigt. In der Hand hält es ein Schwert aus Pappe. Im Hintergrund sind viele Menschen zu sehen
Auch das Onlinespiel Minecraft ist von der Sicherheitslücke betroffen Foto: Carlo Allegri/Reuters
Malaika Rivuzumwami
Von Malaika Rivuzumwami

Berlin taz | Es passiert nicht oft, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Schwachstelle mit ihrer höchsten Warnstufe Rot versieht. Doch so eine Sicherheitslücke existiert seit dem letzten Wochenende. Die Sicherheitslücke Log4Shell gefährdet weltweit Millionen Online-Anwendungen und Apps und öffnet damit Ha­cke­r:in­nen die Tür in Computersysteme in aller Welt. Es handelt sich um einen fehlerhaften Code aus einer Java-Bibliothek namens Log4j. Die Version 1.0 wurde vor fast 21 Jahren veröffentlicht. Seitdem gehört Log4j zum Standard für sogenannte Logging-Beobachtungen: Das Programm protokolliert, wer mit der Software arbeitet und wer auf welche Server zugreift. Mit den Daten sollen Fehler identifiziert werden.

Die Bibliothek Log4j ist Open Source, also kostenfrei und ohne Lizenzgebühren nutzbar. Daher machen es sich Nut­ze­r:in­nen oft einfach und verwenden die Software ohne zusätzliche Sicherheitsmaßnahmen. Was allerdings bedeutet, dass Ha­cke­r:in­nen schnell Zugang zum System bekommen können. Denn An­grei­fe­r:in­nen können ihren eigenen Code in die Software einsetzen und somit das System vollständig übernehmen. Mittlerweile ist dafür sogar ein eigenes Programm online verfügbar, das den Angriffsweg demonstriert. Hacking für An­fän­ge­r:in­nen sozusagen.

Log4j wird weltweit genutzt: Apple nutzt es für seinen Speicherdienst iCloud, genauso wie das Onlinespiel Minecraft, Twitter, Amazon oder auch der Elektroautohersteller Tesla. Auch das besondere elektronische Anwaltspostfach (beA), mit welchem Rechts­an­wäl­t:in­nen ihre Dokumente an deutsche Gerichte übermitteln müssen, musste außer Betrieb genommen werden. Dort wird nun wieder gefaxt. In unserem Pandemiealltag kommt Log4j oft zum Einsatz: Häufig wird es dazu verwendet, den WLAN-Zugang zu verwalten. Kein Wunder also, dass das BSI am Samstagabend die Warnstufe Rot ausgerufen hat, für eine „extrem kritische IT-Sicherheitslage“.

Keine schönen Aussichten

Viele empfinden die Lage als noch dramatischer. Der Chef der IT-Sicherheitsfirma Ten­able, Amit Yorant, meint, es handele sich um die „schlimmste Sicherheitslücke des vergangenen Jahrzehnts“. „Das Internet brennt“, findet Adam Meyers, ein hochrangiger Manager der Firma Crowdstrike. Die vermuteten Auswirkungen und die derzeitige Faktenlage geben ihren drastischen Worten recht, denn diese dürften Monate, womöglich Jahre spürbar sein. Dabei können End­nut­ze­r:in­nen derzeit kaum etwas tun, denn Log4j läuft nicht direkt auf ihren Smartphones oder Computern. Die jeweiligen IT-Abteilungen sind gefragt. Notfallmaßnahmen wurden am Wochenende mittels Zugangsbeschränkungen eingeleitet.

Netzwerke wurden aufgeteilt und segmentiert, damit im Falle eines Angriffs nicht das gesamte Unternehmensnetz betroffen ist, Zugriffsrechte wurden eingeschränkt. Außerdem muss die Sicherheitslücke schnellstmöglich geschlossen werden und alle Hersteller von Softwareprodukten, die die Bibliothek Log4j verwenden, müssen Sicherheitsupdates ihrer Software herausgeben. Teilweise ist das schon passiert, andere arbeiten noch an ihren Updates.

Die Maßnahmen und Auswirkungen werden alle Nut­ze­r:in­nen zu spüren bekommen. Entweder weil Onlineservices vorübergehend abgeschaltet oder tatsächlich ganze Netzwerke gekapert werden. Die ersten Angriffe wurden bereits gemeldet und auch vom BSI bestätigt. Ein Teil dieser stammen von Sicherheitsexpert:innen, die überprüfen wollen, wo genau das Problem liegt. Allerdings wird auch von weltweiten Massenscans berichtet.

Das bedeutet, dass An­grei­fe­r:in­nen das Internet automatisiert durchsuchen, um so nach Servern und Anwendungen zu suchen, die Log4j benutzen und damit ein leichtes Ziel sind. Auf den ersten Servern wurden schon Programme installiert, die sich die Rechenleistung des angegriffenen Servers zunutze machen, um Kryptowährungen zu schürfen. Zudem sind sich IT-Fachleute darüber einig, dass demnächst einige Computernetze über einen Ransomware-Angriff lahmgelegt werden, wobei die Ransomware über diese Sicherheitslücke eingeschleust wird.

Wer sich die Lücke noch in welcher Form zunutze machen wird, kann derzeit nicht final gesagt werden. Fakt ist, dass diese Sicherheitslücke potenzielle Tä­te­r:in­nen mit Kusshand nehmen, weil sie die Tür zu sehr vielen Daten und Möglichkeiten geöffnet hat. Die Auswirkungen werden deutlich größer sein, als ein paar Tage das verstaubte Faxgerät wieder herauszuholen.

40.000 mal Danke!

40.000 Menschen beteiligen sich bei taz zahl ich – weil unabhängiger, kritischer Journalismus in diesen Zeiten gebraucht wird. Weil es die taz braucht. Dafür möchten wir uns herzlich bedanken! Ihre Solidarität sorgt dafür, dass taz.de für alle frei zugänglich bleibt. Denn wir verstehen Journalismus nicht nur als Ware, sondern als öffentliches Gut. Was uns besonders macht? Sie, unsere Leser*innen. Sie wissen: Zahlen muss niemand, aber guter Journalismus hat seinen Preis. Und immer mehr machen mit und entscheiden sich für eine freiwillige Unterstützung der taz! Dieser Schub trägt uns gemeinsam in die Zukunft. Wir suchen auch weiterhin Unterstützung: suchen wir auch weiterhin Ihre Unterstützung. Setzen auch Sie jetzt ein Zeichen für kritischen Journalismus – schon mit 5 Euro im Monat! Jetzt unterstützen

Themen #Hacker #IT-Sicherheit #Cyberkriminalität #Datenschutz
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Eine Frau hockt in einem Serverraum zwischen Kabeln und Rechnern

Fehlerhafter Java-Code

Das Monster im Maschinenraum

Eine Schwachstelle im System zeigt, wie wenig Beachtung die digitale Sicherheitsarchitektur bekommt. Schafft die Ampel die Kehrtwende?
Von Tanja Tricarico
In einem Auge spiegelt sich das Logo von Facebook.

Cybersöldner-Firmen bei Facebook

Überwachung im Netz

Kolumne Digital Naives von Malaika Rivuzumwami
Über Meta-Plattformen wurden 50.000 Nutzer in den vergangenen Monaten ausspioniert oder gehackt. Dabei werden auch altbekannte Namen genannt.
Mann vor Computermonitor - Hände an einer Tastatur

Statistik zu Kriminalität im Internet

BKA registriert mehr „Cybercrime“

Die Zahl krimineller Hackerangriffe stieg 2020 in Deutschland um etwa acht Prozent. Die Tä­te­r:in­nen agierten laut Behörden zunehmend professionell.

10 Wochen im Probeabo

taz digital + wochentaz print testen

Wahre Liebe und heiße Flirts: Wir schauen auf die politische Reality Deutschlands – jede Woche mit Schwerpunktthema und auf täglichen Sonderseiten zur heißen Phase des Wahlkampfs.
Jetzt bestellen

2 Kommentare

 / 
  • MW

    Es handelt sich eben nicht um "Fehlerhafter Code" wie in der Überschrift suggeriert wird. Im Gegenteil funktioniert in diesem Fall der Code (JNDI Lookup) genau so wie spezifiziert.



    Ein Sicherheitsproblem stellt er trotzdem dar.

    •
      Moderation , Moderator
      @Michael Wiedmann:

      Wir haben es korrigiert. Vielen Dank für den Hinweis! Die Moderation

meistkommentiert

1

Polarisierung im Wahlkampf

„Gut“ und „böse“ sind frei erfunden

2

Werben um Wech­sel­wäh­le­r*in­nen

Grüne entdecken Gefahr von Links

3

Nach Absage für Albanese

Die Falsche im Visier

4

Wahlverhalten junger Menschen

Misstrauensvotum gegen die Alten

5

Soziologische Wahlforschung

Wie schwarz werden die grünen Milieus?

6

Donald Trump zu Ukraine

Trump bezeichnet Selenskyj als Diktator