Weitestgehend unbemerkt von vielen Internetnutzerinnen und -nutzern hat sich online am Wochenende eine große Krise entfaltet. Eine "extrem kritische Bedrohungslage" liegt seit Samstag laut einer Mitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor. Denn über eine leicht ausnutzbare Sicherheitslücke in einer viel benutzten Server-Software könnten Online-Kriminelle jetzt und in Zukunft Nutzerdaten stehlen und Unternehmen erpressen. Eine vollständige Liste der Dienstleister gibt es noch nicht. Unternehmen wie Google und Apple sind aber offenbar ebenso betroffen wie Huawei und Amazon.
Die Sicherheitslücke ist mittlerweile geschlossen, die Nachwirkungen könnten aber noch lange Probleme bereiten – auch für Userinnen und User. Was diese jetzt tun können.
Was ist das Problem?
Die Schwachstelle steckt in der oft genutzten Bibliothek Log4j für die Java-Software. Diese Bibliothek hält Ereignisse im Server-Betrieb fest wie in einem Logbuch, zum Beispiel für eine spätere Auswertung von Fehlern. Unternehmen, offenbar auch so große wie Google, Huawei und Apple, bauen diese Bibliothek in ihre Produkte ein, um diese Anwendung nicht erst selbst erstellen zu müssen. Doch dadurch übernehmen sie Fehler wie den, der nun zur Gefahr wird.
Die Sicherheitslücke kann dafür sorgen, dass Online-Kriminelle ihren Softwarecode auf den Servern ausführen und Angriffe starten können. Das könnte dann auch Nutzerinnen und -nutzer betreffen, wenn zum Beispiel Nutzerdaten ausgelesen oder Daten verschlüsselt werden.
Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge auftaucht. Wie auf Twitter von einem User beschrieben konnte man offenbar zeitweise durch das Ändern des iPhone-Namens auf die iCloud von Apple zugreifen. Durch solche Aktionen könnten Online-Kriminelle dann auch Schadprogramme auf den infiltrierten Servern laufen lassen. Allerdings haben die Systeme großer Anbieter meist mehrschichtige Schutzmechanismen.
Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.
Welche Dienste und Systeme betrifft das Problem?
Viele Unternehmen nutzen die betroffene Bibliothek, zum Beispiel Apple und Google. Eine vollständige Liste gibt es aber noch nicht. Allerdings könnten nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnte angegriffen werden, wenn die Geräte Java und Log4j benutzten, betont der Firewall-Spezialist Cloudflare.
Wird die Sicherheitsslücke aktuell ausgenutzt?
Ja. Das BSI twitterte am Sonntagabend, dass bereits Angriffe erfolgen. Eine vollständige Liste mit Dienstleistern, die Log4j nutzen und damit betroffen sein könnten, gibt es bisher nicht.
Warum könnte die Panne noch länger Probleme bereiten?
Angreifer könnten jetzt mithilfe der Lücke auch unauffällige Hintertüren für sich einbauen. Ihre Angriffe könnten sie dann nach einigen Wochen oder Monaten immer noch durchführen.
Wie ist die Sicherheitslücke bei Log4j aufgefallen?
Das Problem wurde öffentlich bekannt, nachdem die Sicherheitslücke am Donnerstag auf Servern für das Online-Spiel "Minecraft" auffiel. Nachträglich stellte die IT-Sicherheitsfirma Cloudflare fest, dass schon mindestens seit dem 1. Dezember auf die Sicherheitslücke ausgerichtete Angriffsversuche im Umlauf waren. Allerdings habe es erst zum Wochenende Attacken auf breiter Front gegeben.
Was können Verbraucherinnen und Verbraucher jetzt tun?
Privatleute, die sich nun Sorgen um ihre digitale Sicherheit machen, müssen sich aktuell vor allem auf Online-Dienstleister verlassen. Updates, die die Sicherheitslücke schließen, gibt es bereits. Aber die Unternehmen müssen diese nun installieren. Und genauso sollten auch Nutzerinnen und Nutzer darauf achten, Updates durchzuführen und ihre Software aktuell zu halten.
Ein weiterer Tipp, der aber im Internet eigentlich immer gilt: User und Userinnen sollten ihre Zugangsdaten gut schützen und keine Passwörter mehrfach verwenden. (mmhe, mit dpa)