Eine Sicherheitslücke in der Software-Bibliothek Log4j sorgt für Alarmstimmung. Die Bibliothek wird von vielen Softwarepaketen benutzt, um Systemzugriffe zu protokollieren.
Quelle: dpa
In der Software-Bibliothek Log4j der Programmiersprache Java gibt es eine gravierende Sicherheitslücke. Die Bibliothek wird von vielen Softwarepaketen benutzt, um Systemzugriffe zu protokollieren.
Welche Anwendungen nutzen Log4j?
- Das besondere Anwaltspostfach musste außer Betrieb genommen werden. Anwälte mussten ihre Schriftsätze an Gerichte wieder per Telefax versenden.
- Kameraüberwachungssysteme arbeiten damit.
- QR-Code-Scanner, wie sie etwa für die Überprüfung von digitalen Impfzertifikaten genutzt werden,
- Smart-Home-Anwendungen wie etwa digitale Türschlösser arbeiten mit Software, die von der Sicherheitssoftware betroffen ist.
- In vielen Home Offices finden wir Software mit der Log4j-Schwachstelle, die dort den WLAN-Zugang verwaltet.
Bei Amazon, Google, IBM, Tesla, Twitter und Cloudflare wird fieberhaft daran gearbeitet, die Sicherheitslücke zu schließen.
In einem alten Bunker im Ort Traben-Trabach wickelte eine Gruppe Cyberangriffe und Drogendeals ab. Den Angeklagten werden rund 240.000 Straftaten vorgeworfen, das Urteil fiel heute.
Gab es schon erfolgreiche Angriffe?
Verschiedene Computer-Notfallteams haben erfolgreiche Angriffe gemeldet. Sicherheitsexperten erwarten, dass demnächst einige Computernetze über einen Angriff mit Erpresser-Software lahmgelegt werden, wobei die Ransomware über diese Sicherheitslücke eingeschleust wird. Es gibt Hinweise, dass diese Schwachstelle bereits seit dem 1. Dezember ausgenutzt wird.
Was genau macht die Softwarebibliothek namens Log4j?
Log4j wird genutzt, um Zugriffe zu protokollieren, ist also eine Verwaltungssoftware mit Wächterfunktion. Deshalb ist die Sicherheitslücke auch so gefährlich: Wenn ich den Wächter manipulieren oder ausschalten kann, bin ich drin im System.
Wie sieht ein Angriff auf die Log4j-Sicherheitslücke aus?
Statt die Befehlsfolge "Benutzer XY greift auf das System zu" zu schicken, sendet ein Angreifer einen anderen Befehl an den angegriffenen Computer, auf dem Log4j läuft. Zum Beispiel lautet der: Stelle eine Verbindung zum Server "Kriminelles-System" her. Genau das macht die Verwaltungssoftware auf dem angegriffenen Server dann auch.
Die Cyberkriminellen haben diesen Server "Kriminelles-System", zu dem die Verwaltungssoftware Kontakt aufnimmt, so vorbereitet, dass der sofort weitere Schadsoftware losschickt. Das kann Spionagesoftware sein, Ransomware für einen Erpressungsangriff oder Software, um das System zu übernehmen. Je nachdem, was die Kriminellen vorhaben.
- Wie Hacker das Corona-Meldesystem störten
Über Wochen fehlten in der Corona-Statistik des RKI die Zahlen aus dem Kreis Ludwigslust-Parchim. Wegen eines Cyberangriffs. Nun gibt es wieder Zahlen: mit begrenzter Aussagekraft.
Wie schwierig ist es, einen Angriff durchzuführen?
Das ist nicht sehr schwierig. 30 Zeichen Befehlscode reichen. Selbst bei abgesicherten Systemen wie bei Apple braucht der Angreifer dafür nur ein iPhone. Das benennt er einfach um.
Im iPhone-Namen muss eben nur diese Befehlsfolge vorkommen, mit der die Sicherheitslücke ausgenutzt werden kann, und schon ist der Angreifer in Apples iCloud. Apple soll allerdings zwischenzeitlich ein Sicherheitsupdate aufgespielt haben.
Wieso ist diese Bibliothek denn so weit verbreitet?
Sie ist Open Source und für deren Benutzung fallen keine Lizenzgebühren kann. Und da sind wir bei einem großen Problem der IT-Branche: Wer eine solche Bibliothek in eigenen Softwareprodukten verwendet, muss sie nochmals sorgfältig prüfen. Und Softwarehersteller sollten immer eine zweite oder gar dritte Sicherheitsprüfung einbauen.
Aber das machen sie in viel zu vielen Fällen eben nicht. Hier wird gnadenlos geschludert. Dahinter stecken Kostengründe, weil jede Sicherheitsüberprüfung Geld kostet. Das wollen nicht wenige Softwarehersteller sparen. Deshalb herrscht jetzt Alarmstufe Rot.
Laut Bundesamt für Sicherheit in der Informationstechnik wächst die Bedrohung durch Cyberkriminelle. Wie sich das in Zahlen ausdrückt, erklärt ZDF-Börsenexperte Frank Bethmann.
Wie können solche Angriffe abgewehrt werden?
Der Anwender kann nicht viel tun. Die Sicherheitslücke muss erstens geschlossen werden. Zweitens müssen die Hersteller von Softwareprodukten, die die Bibliothek Log4j verwenden, Sicherheitsupdates ihrer Software herausgeben.
In einigen Fällen ist das am Wochenende bereits passiert. In anderen Fällen arbeiten die Hersteller gerade fieberhaft an solchen Updates. Und eine gewisse Anzahl von Herstellern prüft derzeit, ob in ihren Produkten auch Teile aus der Log4j-Bibliothek verwendet wurden.
