Java-Bibliothek Log4j Warnstufe Rot: Sicherheitslücke gefährdet die IT zahlreicher Unternehmen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm wegen einer Software-Schwachstelle.
Düsseldorf Viele IT-Abteilungen müssen seit dem vergangenen Wochenende Sonderschichten einlegen: Eine gravierende Sicherheitslücke gefährdet weltweit Millionen Onlineanwendungen und Apps.
Betroffen sind beispielsweise Medienberichten zufolge der Apple-Speicherdienst iCloud und das Onlinespiel „Minecraft“, die Spieleplattform Steam und ein System des Elektroautoherstellers Tesla, aber auch zahlreiche Unternehmensanwendungen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das Risiko durch die Sicherheitslücke auf der sogenannten CVSS-Skala mit 10 ein, dem höchstmöglichen Wert. Die Behörde hat daher Samstagabend die IT-Bedrohungslage auf die höchste Warnstufe Rot erhöht und IT-Organisationen ermahnt: Die Reaktionsfähigkeit sei „kurzfristig geeignet zu erhöhen“.
Einige Akteure in der IT-Sicherheitsbranche nutzen noch drastischere Worte. Es handle sich um die „schlimmste Sicherheitslücke des vergangenen Jahrzehnts“, meinte der Chef der IT-Sicherheitsfirma Tenable, Amit Yoran. „Das Internet brennt“, sagte gar Adam Meyers, ein hochrangiger Manager der Firma Crowdstrike.
Lesen Sie auch zum Thema:
- Der unsichtbare Krieg: Globale Hackerbanden bedrohen Deutschland – betroffene Firmen packen aus
- Angriff auf die deutsche Wirtschaft: Cyberkriminalität kostet Unternehmen Milliarden
- Fünf Maßnahmen gegen Cyberangriffe: So schützen sich Firmen und Behörden vor Hackern
- Schutz vor virtuellen Angriffen: Das sind die besten Versicherungen gegen Cyberkriminalität
Die Auswirkungen dürften auf Wochen oder Monate, womöglich auf Jahre spürbar sein. „Es wird einige Zeit dauern, das Ausmaß des Problems zu verstehen und es zu beheben“, prognostizierte Thorsten Holz, Professor am Helmholtz-Zentrum für Informationssicherheit (CISPA) in Saarbrücken, gegenüber dem Handelsblatt.
Die Sicherheitslücke betrifft die Programmiersprache Java, die in zahlreichen Web-Anwendungen und Apps zum Einsatz kommt. Konkret geht es um einen Baustein namens Log4j für die Protokollierung von Aktivitäten, beispielsweise auf Servern – Experten sprechen von einer Bibliothek. Programmierer können diese mit geringem Aufwand in ihre Software einbinden.
BSI warnt vor Java-Sicherheitslücke: „Extrem kritisch“
Aufgrund der Sicherheitslücke können Angreifer ihren eigenen Code auf Servern ausführen, die die betroffene Software einsetzen – und damit das System vollständig übernehmen. „Die Ausnutzung ist relativ einfach“, sagt IT-Sicherheitsforscher Holz. Ein Programm, das den Angriffsweg demonstriert, ist online verfügbar, Hacker können es mit geringem Aufwand für ihre eigenen Zwecke anpassen.
„Weltweite Massenscans“
Viele Kriminelle und Spione wollen die Möglichkeit offenbar nutzen: Das BSI berichtet von „weltweiten Massenscans“, die offenbar der Identifizierung von Angriffsmöglichkeiten dienen. Zudem gebe es erste Berichte über „erfolgreiche Kompromittierungen“, erklärt die Behörde. Dabei ist die Sicherheitslücke in Fachkreisen erst seit Donnerstag und damit relativ kurz bekannt.
Bislang beobachtet das BSI, dass Kriminelle die Sicherheitslücke missbrauchen, um Software für die Gewinnung von Kryptowährungen, sogenannte Kryptominer, auf den Servern laufen zu lassen. Außerdem gibt es „erste Hinweise“, dass kompromittierte Systeme zu Botnetzen hinzugefügt werden, also Netzwerke von Rechnern, die beispielsweise den Versand von Spam ermöglichen.
Dabei wird es nicht bleiben. Es gebe eine große Wahrscheinlichkeit, dass „die Angreiferaktivitäten in den nächsten Tagen deutlich zunehmen werden“, warnt das BSI. Zumal zahlreiche Anwendungen betroffen sind. Die Behörde verweist auf eine Liste auf der Programmierplattform Github, die möglicherweise betroffene Produkte aufzählt, darunter welche von Microsoft und Cisco, Salesforce und Software AG.
Auch mehrere Stellen der Bundesverwaltung sind betroffen. Das berichtet der „Spiegel“ unter Berufung auf das BSI. Demnach sind der Behörde einzelne verwundbare Systeme bekannt. Es seien bereits Schutzmaßnahmen eingeleitet worden. Hinweise, dass die Sicherheitslücke ausgenutzt werde, gebe es bislang nicht.
In den IT-Unternehmen läuft die Analyse. SAP arbeitet „mit Nachdruck“ daran, die Auswirkungen der Schwachstellen zu verstehen und zu beheben. „Wir ergreifen momentan geeignete Maßnahmen, um unsere Kunden weltweit zu schützen und stellen situationsbedingt regelmäßig Updates bereit.“ Details – etwa ob es für alle Produkte Aktualisierungen gibt – nannte der Dax-Konzern auf Anfrage nicht.
Die Software AG erklärte, die Sicherheitsverfahren zur Behebung der Schwachstelle sofort eingeleitet und die Kunden informiert zu haben. „Dieses Ereignis hat gezeigt, dass unsere Sicherheitsprozesse funktionieren und effektiv sind.“ Details zu betroffenen Produkten und verfügbaren Updates machte der zweitgrößte deutsche Softwarehersteller ebenfalls nicht öffentlich.
Auch Anwenderunternehmen werden aktiv. Mehrere von der Nachrichtenagentur Reuters befragte Firmen, darunter VW, die Lufthansa und die Deutsche Telekom, erklärten am Montag, ihre internen Sicherheitsvorkehrungen erhöht zu haben und die Lage genau zu beobachten. Bislang seien aber keine Angriffsversuche verzeichnet worden.
Deutschlands größte Reederei Hapag-Lloyd erklärte, das Cybersecurity-Team habe bereits reagiert und die IT-Systeme entsprechend angepasst. „Wir bleiben alarmiert und werden die aktuellen Entwicklungen selbstverständlich weiterhin sehr genau im Blick behalten.“
Die Lufthansa rief eine Spezialtruppe zusammen, die alle Systeme und Anwendungen überprüfen soll. Bei der Telekom hieß es, alle Kunden seien dazu aufgerufen worden, die relevanten Updates so schnell wie möglich zu installieren, um die potenzielle Angriffsfläche so gering wie möglich zu halten. Die Systeme des Konzerns würden im Laufe des Tages Tests unterzogen, so dass es zu Verzögerungen bei Anwendungen kommen könne.
Auch Infineon, die Deutsche Bank und Continental erklärten, bislang keine Angriffe registriert zu haben, aber wachsam bleiben zu wollen. Eon setzt nach eigenen Angaben bereits seit Freitag diverse Maßnahmen um, um das Risiko der IT-Schwachstellen zu minimieren.
Produkte müssen modifiziert werden
Das ist allerdings nicht so einfach. Für die Java-Bibliothek Log4j gibt es zwar ein Sicherheitsupdate. Allerdings müssen die Produkte, die diese verwenden, ebenfalls modifiziert werden. „Die Bibliothek ist weitverbreitet und wird in diverse Arten von Anwendungen und Projekten eingebunden – daher muss man erst einmal verstehen, wie groß die Angriffsfläche ist“, sagt Sicherheitsforscher Holz.
Gerade, wenn Log4j in andere Produkte eingebettet ist, wird das Schließen der Sicherheitslücke schwierig. So ist bereits bekannt, dass die Bibliothek in diversen Systemen für den Betrieb von Websites zum Einsatz kommt.
Der Zeitaufwand für die Überprüfung kann erheblich sein. „Die großen Firmen haben die nötige Manpower, aber die kleinen nicht unbedingt“, sagt Holz. Noch schwieriger sei die Situation in kleinen Open-Source-Projekten, die überprüfen müssten, ob sie die Fertigkomponente verwenden. Daher dürften in den nächsten Tagen und Wochen weitere Produkte bekannt werden, die gefährdet sind.
Der Vorfall zeigt einmal mehr ein großes Problem der IT-Branche: Es ist unter Entwicklern üblich, bestimmte Standardkomponenten aus Open-Source-Projekten zu verwenden. Allerdings werden diese oft von kleinen Teams betreut, nicht selten unentgeltlich, was Fehler begünstigt.
So wurde vor einigen Jahren bekannt, dass die verbreitete Verschlüsselungssoftware OpenSSL eine gravierende Sicherheitslücke hat – das Kernteam bestand aus lediglich vier Entwicklern. Mittlerweile unterstützen etliche IT-Konzerne das Projekt aber finanziell.
Das Kommentieren dieses Artikels wurde deaktiviert.