Neue Sicherheitslücke
Wie Shellshock die Internetnutzer gefährdet

Kleiner Fehler, große Wirkung: Eine Schwachstelle namens Shellshock macht Betriebssysteme wie Linux und Mac OS X angreifbar. Gefährdet sind aber prinzipiell alle Internetnutzer – auch mit Windows-Rechnern.
  • 2

DüsseldorfEine neu entdeckte Sicherheitslücke gefährdet möglicherweise zahlreiche Internetnutzer. Angreifer können in Betriebssystemen wie Linux und Mac OS X aus der Ferne Befehle ausführen und damit die Kontrolle über die Rechner übernehmen. Auch Software für Internet-Server ist betroffen. Derzeit ist nicht bekannt, ob die als „Shellshock“ (deutsch: Kriegstrauma) bezeichnete Lücke bereits ausgenutzt wird, im Netz kursieren aber erste Berichte, die darauf hindeuten. Ein Sicherheitsforscher hat die Schwachstelle veröffentlicht, mittlerweile warnt auch die US-Regierung davor.

„Die Lücke zeigt wieder einmal, dass Sicherheitsprobleme an allen möglichen Stellen auftreten können“, sagt der Linux-Spezialist Andreas Godzina. Die Folgen seien noch schwer abzuschätzen, aber möglicherweise größer als bei anderen Schwachstellen, erklärt der Gründer und Chef des Hannoveraner IT-Dienstleisters Axxeo GmbH in Hannover im Gespräch mit Handelsblatt Online.

Die Schwachstelle betrifft eine Software namens Bash, die in Unix-basierten Betriebssystemen zum Einsatz kommt. Systemadministratoren nutzen sie etwa, um Kommandos direkt über die Tastatur einzugeben – Experten bezeichnen diese Funktion als Shell. Auch viele Programme greifen darauf zu. „Die Angelegenheit ist besonders gefährlich, weil es viele Möglichkeiten gibt, wie Bash von einer Anwendung aufgerufen wird“, warnt die Softwarefirma Red Hat, die eine Linux-Variante vertreibt.

Für einige Betriebssysteme gibt es bereits Updates, die das Bash-Problem beheben – nach Angaben der IT-Sicherheitsstelle US-Cert sind das die Linux-Varianten CentOS, Debian, Redhat und Ubuntu. Das Apple-System Mac OS X soll nur in einigen wenigen Fällen betroffen sein: Die große Mehrzahl der OS-X-Geräte sei nicht gefährdet, teilte das Unternehmen mit. Nur fortgeschrittene Nutzer, die bestimmte Unix-Dienste selbst konfigurierten, seien betroffen. „Wir arbeiten daran, schnell ein Software-Update für die fortgeschrittenen Unix-Nutzer bereitzustellen.“

Die Sicherheitslücke betrifft zwar nicht alle Betriebssysteme, ist aber trotzdem eine Gefahr für alle Internetnutzer. „Das Problematische ist, dass vermutlich viele Web-Anwendungen direkt oder indirekt auf die Bash zugreifen“, sagt IT-Experte Godzina. „Daher besteht eventuell die Möglichkeit, dass man von außen auf Web-Servern beliebige Kommandos ausführen kann.“

Gelingt Angreifern der Zugriff, können sie beispielsweise fremde Server mit schädlicher Software präparieren – besuchen Nutzer die Webseite, werden ihre Rechner damit infiziert. Im schlimmsten Fall können die Kriminellen den PC kapern und beispielsweise Daten stehlen. Gängige Sicherheitsmaßnahmen bieten nur bedingt Schutz.

Die Ausmaße des Problems lassen sich derzeit noch nicht abschätzen. Die US-Sicherheitsfirma Errata Security hat nach eigenen Angaben bei einer ersten, oberflächlichen Prüfung mindestens 3000 angreifbare Web-Server gefunden. Es seien aber wahrscheinlich deutlich mehr Systeme betroffen, erklärt der Errata-Sicherheitsforscher Robert Graham. Auch zahlreiche vernetzte Geräte wie Überwachungskameras, die sich aus der Ferne steuern lassen, nutzten die Bash-Software. Damit betrifft Shellshock auch das Internet der Dinge.

Grahams Fazit: Das Problem ist genauso gravierend wie im Fall von Heartbleed, einer Schwachstelle in der Verschlüsselungstechnologie OpenSSL, die bis zu zwei Drittel aller Server im Internet betraf.

Update 26. September: Apple hat sich dazu geäußert, inwiefern Mac OS X betroffen ist.

Kommentare zu " Neue Sicherheitslücke: Wie Shellshock die Internetnutzer gefährdet"

Alle Kommentare

Dieser Beitrag kann nicht mehr kommentiert werden. Sie können wochentags von 8 bis 18 Uhr kommentieren, wenn Sie angemeldeter Handelsblatt-Online-Leser sind. Die Inhalte sind bis zu sieben Tage nach Erscheinen kommentierbar.


  • Super, und wie ist Ihr Kommentar hier reingekommen? Und wie schicke ich dann die Antwort?

  • Einfach keine PCs nutzen, fertig.

    Früher ging es auch ohne.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%