piwik no script img

taz zahl ich

Sicherheitslücke Log4ShellWarnstufe Rot

Die Sicherheitslücke Log4jShell gefährdet weltweit Millionen Online-Anwendungen und Apps. Nicht wenige warnen vor drastischen Folgen.

Ein Kind ist als ein Charakter des Videospiels Minecraft an Halloween verkleidet. Es hat eine große, breite Maske auf, die ein verpixeltes Gesicht zeigt. In der Hand hält es ein Schwert aus Pappe. Im Hintergrund sind viele Menschen zu sehen
Auch das Onlinespiel Minecraft ist von der Sicherheitslücke betroffen Foto: Carlo Allegri/Reuters
Malaika Rivuzumwami
Von Malaika Rivuzumwami

Berlin taz | Es passiert nicht oft, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Schwachstelle mit ihrer höchsten Warnstufe Rot versieht. Doch so eine Sicherheitslücke existiert seit dem letzten Wochenende. Die Sicherheitslücke Log4Shell gefährdet weltweit Millionen Online-Anwendungen und Apps und öffnet damit Ha­cke­r:in­nen die Tür in Computersysteme in aller Welt. Es handelt sich um einen fehlerhaften Code aus einer Java-Bibliothek namens Log4j. Die Version 1.0 wurde vor fast 21 Jahren veröffentlicht. Seitdem gehört Log4j zum Standard für sogenannte Logging-Beobachtungen: Das Programm protokolliert, wer mit der Software arbeitet und wer auf welche Server zugreift. Mit den Daten sollen Fehler identifiziert werden.

Die Bibliothek Log4j ist Open Source, also kostenfrei und ohne Lizenzgebühren nutzbar. Daher machen es sich Nut­ze­r:in­nen oft einfach und verwenden die Software ohne zusätzliche Sicherheitsmaßnahmen. Was allerdings bedeutet, dass Ha­cke­r:in­nen schnell Zugang zum System bekommen können. Denn An­grei­fe­r:in­nen können ihren eigenen Code in die Software einsetzen und somit das System vollständig übernehmen. Mittlerweile ist dafür sogar ein eigenes Programm online verfügbar, das den Angriffsweg demonstriert. Hacking für An­fän­ge­r:in­nen sozusagen.

Log4j wird weltweit genutzt: Apple nutzt es für seinen Speicherdienst iCloud, genauso wie das Onlinespiel Minecraft, Twitter, Amazon oder auch der Elektroautohersteller Tesla. Auch das besondere elektronische Anwaltspostfach (beA), mit welchem Rechts­an­wäl­t:in­nen ihre Dokumente an deutsche Gerichte übermitteln müssen, musste außer Betrieb genommen werden. Dort wird nun wieder gefaxt. In unserem Pandemiealltag kommt Log4j oft zum Einsatz: Häufig wird es dazu verwendet, den WLAN-Zugang zu verwalten. Kein Wunder also, dass das BSI am Samstagabend die Warnstufe Rot ausgerufen hat, für eine „extrem kritische IT-Sicherheitslage“.

Keine schönen Aussichten

Viele empfinden die Lage als noch dramatischer. Der Chef der IT-Sicherheitsfirma Ten­able, Amit Yorant, meint, es handele sich um die „schlimmste Sicherheitslücke des vergangenen Jahrzehnts“. „Das Internet brennt“, findet Adam Meyers, ein hochrangiger Manager der Firma Crowdstrike. Die vermuteten Auswirkungen und die derzeitige Faktenlage geben ihren drastischen Worten recht, denn diese dürften Monate, womöglich Jahre spürbar sein. Dabei können End­nut­ze­r:in­nen derzeit kaum etwas tun, denn Log4j läuft nicht direkt auf ihren Smartphones oder Computern. Die jeweiligen IT-Abteilungen sind gefragt. Notfallmaßnahmen wurden am Wochenende mittels Zugangsbeschränkungen eingeleitet.

Netzwerke wurden aufgeteilt und segmentiert, damit im Falle eines Angriffs nicht das gesamte Unternehmensnetz betroffen ist, Zugriffsrechte wurden eingeschränkt. Außerdem muss die Sicherheitslücke schnellstmöglich geschlossen werden und alle Hersteller von Softwareprodukten, die die Bibliothek Log4j verwenden, müssen Sicherheitsupdates ihrer Software herausgeben. Teilweise ist das schon passiert, andere arbeiten noch an ihren Updates.

Die Maßnahmen und Auswirkungen werden alle Nut­ze­r:in­nen zu spüren bekommen. Entweder weil Onlineservices vorübergehend abgeschaltet oder tatsächlich ganze Netzwerke gekapert werden. Die ersten Angriffe wurden bereits gemeldet und auch vom BSI bestätigt. Ein Teil dieser stammen von Sicherheitsexpert:innen, die überprüfen wollen, wo genau das Problem liegt. Allerdings wird auch von weltweiten Massenscans berichtet.

Das bedeutet, dass An­grei­fe­r:in­nen das Internet automatisiert durchsuchen, um so nach Servern und Anwendungen zu suchen, die Log4j benutzen und damit ein leichtes Ziel sind. Auf den ersten Servern wurden schon Programme installiert, die sich die Rechenleistung des angegriffenen Servers zunutze machen, um Kryptowährungen zu schürfen. Zudem sind sich IT-Fachleute darüber einig, dass demnächst einige Computernetze über einen Ransomware-Angriff lahmgelegt werden, wobei die Ransomware über diese Sicherheitslücke eingeschleust wird.

Wer sich die Lücke noch in welcher Form zunutze machen wird, kann derzeit nicht final gesagt werden. Fakt ist, dass diese Sicherheitslücke potenzielle Tä­te­r:in­nen mit Kusshand nehmen, weil sie die Tür zu sehr vielen Daten und Möglichkeiten geöffnet hat. Die Auswirkungen werden deutlich größer sein, als ein paar Tage das verstaubte Faxgerät wieder herauszuholen.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Hacker #IT-Sicherheit #Cyberkriminalität #Datenschutz
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Eine Frau hockt in einem Serverraum zwischen Kabeln und Rechnern

Fehlerhafter Java-Code

Das Monster im Maschinenraum

Eine Schwachstelle im System zeigt, wie wenig Beachtung die digitale Sicherheitsarchitektur bekommt. Schafft die Ampel die Kehrtwende?
Von Tanja Tricarico
In einem Auge spiegelt sich das Logo von Facebook.

Cybersöldner-Firmen bei Facebook

Überwachung im Netz

Kolumne Digital Naives von Malaika Rivuzumwami
Über Meta-Plattformen wurden 50.000 Nutzer in den vergangenen Monaten ausspioniert oder gehackt. Dabei werden auch altbekannte Namen genannt.
Mann vor Computermonitor - Hände an einer Tastatur

Statistik zu Kriminalität im Internet

BKA registriert mehr „Cybercrime“

Die Zahl krimineller Hackerangriffe stieg 2020 in Deutschland um etwa acht Prozent. Die Tä­te­r:in­nen agierten laut Behörden zunehmend professionell.

10 Ausgaben für 10 Euro

Die Wochenzeitung mit taz-Blick

Unsere wochentaz bietet jeden Samstag Journalismus, der es nicht allen recht macht und Stimmen, die man woanders nicht hört. Jetzt zehn Wochen lang kennenlernen.
Jetzt bestellen

2 Kommentare

 / 
  • MW

    Es handelt sich eben nicht um "Fehlerhafter Code" wie in der Überschrift suggeriert wird. Im Gegenteil funktioniert in diesem Fall der Code (JNDI Lookup) genau so wie spezifiziert.



    Ein Sicherheitsproblem stellt er trotzdem dar.

    •
      Moderation , Moderator
      @Michael Wiedmann:

      Wir haben es korrigiert. Vielen Dank für den Hinweis! Die Moderation

meistkommentiert

1

Kampf gegen die Klimakrise

Eine Hoffnung, die nicht glitzert

2

Müntefering und die K-Frage bei der SPD

Pistorius statt Scholz!

3

Zweite Woche der UN-Klimakonferenz

Habeck wirbt für den weltweiten Ausbau des Emissionshandels

4

Altersgrenze für Führerschein

Testosteron und PS

5

Krieg in der Ukraine

Biden erlaubt Raketenangriffe mit größerer Reichweite

6

Angeblich zu „woke“ Videospiele

Game­r:in­nen gegen Gendergaga