BSI hat höchte Warnstufe ausgerufen: Sicherheitslücke Log4J ist äußerst kritisch

Das „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) hat die höchste Warnstufe „rot“ ausgerufen. Und zwar für eine Sicherheitslücke, die sich in einer weit verbreiteten Software-Bibliothek namens „Log4J“ befindet. Dadurch sind Server und Onlinedienste rund um den Globus gefährdet. Doch wer ist betroffen und was kann man machen?

Experten haben eine neue Sicherheitslücke entdeckt, die noch niemandem bekannt ist – und für die es deshalb auch noch kein Update, also keine Lösung gibt. Das ist immer gefährlich. Besonders schlimm ist im vorliegenden Fall, dass das Sicherheitsleck in einem Programm gefunden wurde, das unglaublich populär ist: Unzählige Server und Onlinedienste nutzen diese kostenlos verfügbare Programmroutine, um Nutzerzugriffe zu protokollieren.

Man kann sagen, dass „Log4J“ so eine Art Standard ist. Zum ersten Mal entdeckt wurde das Problem in dem Online-Spiel „Minecraft“. Aber auch Apple, Twitter, Amazon, Tesla und viele andere großen Firmen und Onlinedienste nutzen die Funktion – und sind damit grundsätzlich angreifbar. Cyberkriminelle und Hacker können das Sicherheitsleck jetzt ausnutzen, solange das Leck nicht gestopft ist. Administratoren und IT-Experten in aller Welt machen seit Freitag Überstunden ohne Ende, um die Systeme abzusichern.

Cyberattack

Ist es schwierig, das Sicherheitsleck auszunutzen und was kann schlimmstenfalls passieren?

Wir haben zwei Probleme. Erstens: Die Software wird auf extrem vielen Servern und in Umgebungen eingesetzt. Zweitens: Es ist unglaublich einfach, das Sicherheitsleck auszunutzen. Also wird das jetzt auch gemacht. Angreifer können auf Systemen mit nicht gestopfter Sicherheitslücke praktisch jeden beliebigen Programmcode ausführen. Was genau möglich ist, hängt vom jeweils angegriffenen System ab.

Es könnte zum Beispiel sein, dass die Angreifer Daten abgreifen oder eine Hintertür aufmachen, die sie erst viel später verwenden. Etwa, um dann in das System einzudringen, wenn sich die Aufregung gelegt hat. Man muss damit rechnen, dass Angreifer versuchen, möglichst viele Daten abzugreifen, etwa sensible Nutzerdaten, Zugangsdaten oder Zahlungsdaten. Denn mit solchen Daten lässt sich konkreten Geld verdienen und Schaden anrichten.

 Kann ich selbst auch etwas unternehmen, um mich zu schützen?

Das Problem ist in erster Linie eins, das die Betreiber von Onlinediensten lösen müssen. Wir als Konsumenten können weder die Lücken stopfen, noch können wir sehen, ob und wo sie bestehen. Aber eine Sache sehe ich, die wir alle tun können – und meiner Ansicht nach auch müssen. Wir müssen alle besser werden beim Absichern unserer Onlinekonten.

Das bedeutet: Nicht überall dasselbe Passwort verwenden, sondern idealerweise in jedem Onlinekonto ein anderes. Passwort-Manager können dabei helfen, den Aufwand in Grenzen zu halten.

Vor allem aber sollten wir überall wo möglich die „Zwei Faktor Authentifizierung“ aktivieren. Das ist ein zusätzlicher Schutz, eine Art zweites Vorhängeschloss. Neben Benutzername und Passwort muss beim Login dann noch ein weiterer Code eingegeben werden. Ein Code, der zum Beispiel im eigenen Smartphone erzeugt wird. Die Folge: Erbeuten Cyberkriminelle meine Zugangsdaten, kommen sie damit trotzdem nicht in meine Onlinekonten.