Sicherheitslücke in Deutschland: Mangelhafte Cyber-Abwehr

Die sogenannte Log4j-Sicherheitslücke ist ein Einfallstor für Kriminelle. Eine konzentrierte Kontrollmacht fehlt. Jetzt wäre ein guter Zeitpunkt.

Totenkopf auf einem Bildschirm

Gar nicht lustig: Cyberalarm Foto: imago

Das Kommando „Alarmstufe Rot!“ signalisiert in vielen Filmen den kurz bevorstehenden Katastrophenfall. Meist knallt es dann irgendwo und es geht unmittelbar um Leben und Tod. So anschaulich ist die jüngste Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) nicht. Aus den technischen Spezifikationen kann kein Laie die Gefahren herauslesen. Nichts ist explodiert. Die Gefahr bleibt im Hintergrund, verbirgt sich in Programmierzeilen. Das macht sie so schwer verständlich.

Nachvollziehbar werden die Sorgen der Experten mit Blick auf die möglichen Folgeschäden, sollten Kriminelle das Einfallstor, die Log4j-Sicherheitslücke für Angriffe auf Unternehmen, Behörden oder Privatleute, nutzen. Der Verband der Internetwirtschaft spricht nicht umsonst von einem „neuen, erschreckenden Level“ der Bedrohung. Üblich waren bisher vor allem Angriffe auf Endgeräte wie den PC zu Hause oder auf Firmensysteme. Über Spam-Mails werden dabei oft Schadprogramme in das jeweilige System geschmuggelt. Anschließend wird es beispielsweise lahmgelegt und erst gegen Zahlung eines Lösegeldes wieder freigegeben.

In diesem Fall aber geht es um die Möglichkeit für Kriminelle, Zugriff auf ganze Server zu bekommen. Im Extremfall, der hoffentlich nicht eintreten wird, könnten sie etwa die Kontrolle über Smartphone-Hersteller übernehmen und die einzelnen Smartphones mit dem nächsten Update der Software manipulieren. Es ist nur eines von vielen denkbaren Szenarien, wenn die Cyberabwehr nicht schleunigst ins Rollen kommt. Und es erklärt die Alarmstimmung der Fachwelt.

Die Sicherheitslücke in dieser einen Anwendung deckt eine viel größere auf. Wirtschaft und Verwaltungen schützen sich nicht ausreichend gegen Cyberkriminalität. Das hat mehrere Ursachen, die teils schwer zu beseitigen sind. So kommt die wesentliche Software aus anderen Ländern, vor allem den USA. Auf deren Arbeit kann niemand hier Einfluss nehmen. Und es gibt keine perfekten Programme. Einfallstore für Cyberkriminelle sind praktisch nicht zu vermeiden. Das Betriebssystem von Microsoft umfasst rund 50 Millionen Programmzeilen.

Systematische Suche kostet Geld

Ein paar fehlerhafte reichen als Angriffsfläche aus. Andere Gründe für Lücken im Sicherheitsnetz sind aber durchaus zu schließen. So sind sogenannte Open-Source-Programme beliebt, weil sie kostengünstig sind und die Abhängigkeit von den Tech-Riesen verringern. In die Programmierung dieser offenen Software kann jeder hineinschauen. Damit könnten auch Schwachstellen rasch auffallen und beseitigt werden. Doch die systematische Suche danach kostet Geld und Zeit.

Die systematische Suche nach Schwachstellen kostet Zeit und Geld

Es gibt keine Institution, die diesen Sicherheitsjob im gesellschaftlichen Auftrag übernimmt. Jeder wurschtelt vor sich hin, statt eine konzentrierte Gegenmacht zur Cyberkriminalität aufzubauen. Vielleicht ist jetzt ein guter Zeitpunkt dafür. Denn angesichts der wachsenden volkswirtschaftlichen Bedeutung der Digitalisierung kommt dem Schutz der Systeme bald eine existenzielle Bedeutung zu.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de