Sicherheitslücke in Deutschland: Mangelhafte Cyber-Abwehr
Die sogenannte Log4j-Sicherheitslücke ist ein Einfallstor für Kriminelle. Eine konzentrierte Kontrollmacht fehlt. Jetzt wäre ein guter Zeitpunkt.
Das Kommando „Alarmstufe Rot!“ signalisiert in vielen Filmen den kurz bevorstehenden Katastrophenfall. Meist knallt es dann irgendwo und es geht unmittelbar um Leben und Tod. So anschaulich ist die jüngste Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) nicht. Aus den technischen Spezifikationen kann kein Laie die Gefahren herauslesen. Nichts ist explodiert. Die Gefahr bleibt im Hintergrund, verbirgt sich in Programmierzeilen. Das macht sie so schwer verständlich.
Nachvollziehbar werden die Sorgen der Experten mit Blick auf die möglichen Folgeschäden, sollten Kriminelle das Einfallstor, die Log4j-Sicherheitslücke für Angriffe auf Unternehmen, Behörden oder Privatleute, nutzen. Der Verband der Internetwirtschaft spricht nicht umsonst von einem „neuen, erschreckenden Level“ der Bedrohung. Üblich waren bisher vor allem Angriffe auf Endgeräte wie den PC zu Hause oder auf Firmensysteme. Über Spam-Mails werden dabei oft Schadprogramme in das jeweilige System geschmuggelt. Anschließend wird es beispielsweise lahmgelegt und erst gegen Zahlung eines Lösegeldes wieder freigegeben.
In diesem Fall aber geht es um die Möglichkeit für Kriminelle, Zugriff auf ganze Server zu bekommen. Im Extremfall, der hoffentlich nicht eintreten wird, könnten sie etwa die Kontrolle über Smartphone-Hersteller übernehmen und die einzelnen Smartphones mit dem nächsten Update der Software manipulieren. Es ist nur eines von vielen denkbaren Szenarien, wenn die Cyberabwehr nicht schleunigst ins Rollen kommt. Und es erklärt die Alarmstimmung der Fachwelt.
Die Sicherheitslücke in dieser einen Anwendung deckt eine viel größere auf. Wirtschaft und Verwaltungen schützen sich nicht ausreichend gegen Cyberkriminalität. Das hat mehrere Ursachen, die teils schwer zu beseitigen sind. So kommt die wesentliche Software aus anderen Ländern, vor allem den USA. Auf deren Arbeit kann niemand hier Einfluss nehmen. Und es gibt keine perfekten Programme. Einfallstore für Cyberkriminelle sind praktisch nicht zu vermeiden. Das Betriebssystem von Microsoft umfasst rund 50 Millionen Programmzeilen.
Systematische Suche kostet Geld
Ein paar fehlerhafte reichen als Angriffsfläche aus. Andere Gründe für Lücken im Sicherheitsnetz sind aber durchaus zu schließen. So sind sogenannte Open-Source-Programme beliebt, weil sie kostengünstig sind und die Abhängigkeit von den Tech-Riesen verringern. In die Programmierung dieser offenen Software kann jeder hineinschauen. Damit könnten auch Schwachstellen rasch auffallen und beseitigt werden. Doch die systematische Suche danach kostet Geld und Zeit.
Es gibt keine Institution, die diesen Sicherheitsjob im gesellschaftlichen Auftrag übernimmt. Jeder wurschtelt vor sich hin, statt eine konzentrierte Gegenmacht zur Cyberkriminalität aufzubauen. Vielleicht ist jetzt ein guter Zeitpunkt dafür. Denn angesichts der wachsenden volkswirtschaftlichen Bedeutung der Digitalisierung kommt dem Schutz der Systeme bald eine existenzielle Bedeutung zu.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Rechte Gewalt in Görlitz
Mutmaßliche Neonazis greifen linke Aktivist*innen an
Deutungskampf nach Magdeburg
„Es wird versucht, das komplett zu leugnen“
Lohneinbußen für Volkswagen-Manager
Der Witz des VW-Vorstands
Aktionismus nach Magdeburg-Terror
Besser erst mal nachdenken
Polizeigewalt gegen Geflüchtete
An der Hamburger Hafenkante sitzt die Dienstwaffe locker
Gedenken an den Magdeburger Anschlag
Trauer und Anspannung