Log4j-Lücke: BSI meldet erste Angriffsversuche

Weitere Details zur Sicherheitslücke in Servern (Symbolbild)
Bild: picture alliance/dpa | Marijan Murat Eine gefähr­liche Schwach­stelle einer viel benutzten Server-Soft­ware hat nach Einschät­zung der deut­schen IT-Sicher­heits­behörde BSI noch keine unmit­tel­baren Folgen für die Verbrau­cher.

"Handys und iPads sind davon bisher nicht betroffen, das muss man ganz klar sagen", sagte der Präsi­dent des Bundes­amtes für Sicher­heit in der Infor­mati­ons­technik (BSI), Arne Schön­bohm, heute in Bonn. Betroffen seien viel­mehr Behörden und Unter­nehmen und "am Ende der Verbrau­cher, der diese Dienst­leis­tungen nutzt".

BSI hatte Warn­stufe Rot ausge­rufen

Weitere Details zur Sicherheitslücke in Servern (Symbolbild)
Bild: picture alliance/dpa | Marijan Murat Am Wochen­ende hatte das BSI wegen einer Sicher­heits­lücke in einer viel benutzten Biblio­thek der Java-Soft­ware die Warn­stufe Rot ausge­rufen. Die Sicher­heits­lücke kann dafür sorgen, dass Angreifer unter Umständen dort Schad­pro­gramme laufen lassen können. Die Schwach­stelle ist auf einige ältere Versionen der Biblio­thek mit dem Namen Log4j beschränkt. Schön­bohm unter­mau­erte heute die Dring­lich­keit zum Handeln. Unter­nehmen und Behörden sollten so schnell wie möglich Updates durch­führen.

Krimi­nelle seien sehr aktiv. "Wir sehen jetzt schon einen massen­haften Scan." Es finde ein Wett­rennen zwischen Angrei­fern und Vertei­digern statt. "Es sind nicht die gezielten Angriffe, sondern es geht darum, flächen­deckend dort hinein­zukommen und das auszu­nutzen, sodass man dann drin ist und andere Hinter­türen instal­lieren kann, bevor diese Lücke geschlossen ist."

Diese Hinter­türen könnten die Krimi­nellen dann noch lange ausnutzen. Neben den Updates empfahl er den Unter­nehmen und Behörden, bestimmte Funk­tio­nali­täten zu unter­binden, "wodurch die Angriffs­mög­lich­keit deut­lich geringer ist".

Angriffs­ver­suche haben wohl bereits statt­gefunden

Auf die Frage, wie viele Firmen denn betroffen seien, sagte Schön­bohm: "Das kann man noch nicht sagen, wir sind in einer Phase der Aufbe­rei­tung." Seine Behörde stehe im Kontakt mit IT-Sicher­heits­behörden anderer Staaten, etwa von den Nieder­landen, Frank­reich und auch der USA. Er bestä­tigte, dass bereits Angriffs­ver­suche statt­gefunden hätten, wollte aber keine Einzel­heiten nennen.

Nach Erkennt­nissen der IT-Sicher­heits­firma F-Secure gelang es Angrei­fern bereits zum Teil, Erpres­sungs-Trojaner und Soft­ware zum Erstellen von Kryp­towäh­rungen auf den Servern zu instal­lieren. "Log4j könnte die kritischste Schwach­stelle aller Zeiten sein. Insbe­son­dere, da das Problem herstel­ler­über­grei­fend besteht", sagte F-Secure-Experte Rüdiger Trost.

Log4j ist eine soge­nannte Logging-Biblio­thek. Sie ist dafür da, diverse Ereig­nisse im Server-Betrieb wie in einem Logbuch fest­zuhalten - zum Beispiel für eine spätere Auswer­tung von Fehlern. Die Schwach­stelle kann schon allein dadurch akti­viert werden, dass in dem Log eine bestimmte Zeichen­folge auftaucht, zum Beispiel durch eine Nach­richt. Damit ist sie eher einfach auszu­nutzen, was Experten in große Sorge versetzte. Zugleich haben die Systeme großer Anbieter meist mehr­schich­tige Schutz­mecha­nismen.

Ob Computer, Handy oder Tablet - auf vielen elektroni­schen Helfern sammeln sich viele wich­tige persön­liche Daten an. Wir zeigen Ihnen, wie Sie sich schützen können.