Sicherheitslücke Log4J - deshalb ist die Software so gefährlich

Sicherheitslücke Log4J - deshalb ist die Software so gefährlich

Von Jörg Schieb

Eine gefährliche Schwachstelle in der weit verbreiteten Server-Software Log4J lässt die Alarmglocken des Bundesamtes für IT-Sicherheit läuten. Alles, was man dazu jetzt wissen muss.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit "rot" die höchste Warnstufe ausgerufen. Eine Sicherheitslücke, die sich in einer weit verbreiteten Software-Bibliothek namens Log4J befindet, gefährdet überall im Netz die Sicherheit. Dadurch sind vor allem Server und Online-Dienste rund um den Globus angreifbar. Doch wer ist betroffen und was können Verbraucher machen? Fragen und Antworten.

Höchste Warnstufe - ist die Lage wirklich so schlimm?

Experten haben am Freitag eine neue Sicherheitslücke entdeckt, die vorher noch niemandem bekannt war - und für die es deshalb auch noch kein Update, also keine Lösung gibt. Solche Lücken werden Zero Day Exploits genannt und gelten generell als gefährlich.

Besonders brisant ist im vorliegenden Fall, dass das Sicherheitsleck in einem Programm gefunden wurde, das unglaublich populär ist: Unzählige Server und Onlinedienste nutzen diese kostenlos verfügbare Programmroutine, um Nutzerzugriffe zu protokollieren. Man kann sagen, dass Log4J ein Standard und deshalb weit verbreitet ist.

Eine Szene aus dem Spiel Minecraft.

Eine Szene aus dem Online-Spiel Minecraft.

Zum ersten Mal entdeckt wurde das Problem in dem Online-Spiel Minecraft. Aber auch Apple, Twitter, Amazon, Tesla und viele andere namhafte Firmen und Onlinedienste nutzen die Funktion - und sind damit grundsätzlich angreifbar. Ebenso Behörden und Unternehmen.

Cyberkriminelle und Hacker können das Sicherheitsleck jetzt ausnutzen, solange es nicht gestopft ist. Administratoren und IT-Experten in aller Welt machen seit Freitag Überstunden ohne Ende, um die Systeme abzusichern. Allerdings auch Hacker und Cyberkriminelle.

Lässt sich das Sicherheitsleck leicht ausnutzen? Was kann passieren?

Es gibt zwei Probleme. Erstens: Die Software wird auf extrem vielen Servern und in Umgebungen eingesetzt. Zweitens: Es ist technisch sehr einfach, das Sicherheitsleck auszunutzen. Also wird das jetzt auch im großen Stil versucht.

Angreifer können auf Systemen mit ungestopfter Sicherheitslücke praktisch jeden beliebigen Programmcode (Schadcode) nachladen und ausführen. Was genau möglich ist, hängt vom jeweils angegriffenen System ab. Es könnte zum Beispiel sein, dass die Angreifer Daten abgreifen oder eine Hintertür aufmachen, die sie erst viel später verwenden. Etwa, um dann in das System einzudringen, wenn sich die Aufregung gelegt hat.

Man muss damit rechnen, dass Angreifer versuchen, möglichst viele Daten abzugreifen, etwa sensible Nutzerdaten, Zugangsdaten oder Zahlungsdaten. Denn mit solchen Daten lässt sich konkret Geld verdienen und Schaden anrichten. Aber auch für die weit verbreitete Bedrohung "Ransom Ware" eignet sich das Sicherheitsleck hervorragend: Es steht zu befürchten, dass in naher Zukunft mehr Erpressungsversuche über das Netz zu beobachten sind.

Das Logo von Apache Log4J.

Doch auch Hardware könnte gefährdet sein. Insbesondere bei einigen WLAN-Systemen, wie sie vor allem in Hotels, Lounges, Flughäfen etc. zum Einsatz kommen, ist Log4J schon nachgewiesen. Auch Hardware am Homeoffice-Arbeitsplatz könnte gefährdet sein.

Kann ich mich auch selbst vor der Sicherheitslücke in Log4J in schützen?

Das Problem ist in erster Linie eines, das die Betreiber von Onlinediensten lösen müssen. Konsumenten können weder die Lücken stopfen, noch können sie sehen, ob und wo diese bestehen.

Aber eine Sache können alle tun: Onlinekonten besser absichern. Das bedeutet: Nicht überall dasselbe Passwort verwenden, sondern idealerweise in jedem Onlinekonto ein anderes. Passwort-Manager können dabei helfen, den Aufwand in Grenzen zu halten.

Vor allem aber sollte man überall, wo möglich, die Zwei-Faktor-Authentifizierung aktivieren. Das ist ein zusätzlicher Schutz, eine Art zweites Vorhängeschloss. Neben Benutzername und Passwort muss beim Login dann noch ein weiterer Code eingegeben werden. Ein Code, der zum Beispiel im eigenen Smartphone erzeugt wird. Die Folge: Erbeuten Cyberkriminelle meine Zugangsdaten, kommen sie damit trotzdem nicht in meine Onlinekonten.

Da auch öffentliche WLAN-Systeme gefährdet sind, empfiehlt es sich, dort verstärkt VPNs (Virtual Privat Networks) einzusetzen. Das ist eine Spezial-Software, die die eigene Kommunikation in einem Tunnel verschlüsselt und so das Mitlesen erschwert.

Stand: 13.12.2021, 10:07

Weitere Themen

Aktuelle TV-Sendungen