https://www.faz.net/aktuell/wirtschaft/kritische-bedrohungslage-bsi-gibt-warnstufe-rot-fuer-it-sicherheit-aus-17680727.html

„Warnstufe Rot“ : Die IT-Bedrohungslage ist extrem kritisch

Glasfaserkabel stecken in einem Rechenzentrum vom bayerischen Landeskriminalamt (BLKA) in einem Netzwerk-Switch. Bild: dpa

Das Bundesamt für Sicherheit in der Informationstechnik schlägt Alarm wegen einer Software-Sicherheitslücke. Angreifer könnten sie nutzen, um zahlreiche Produkte und Dienste im Internet anzugreifen.

          2 Min.

          Java gehört zu den am weitesten verbreiteten Programmiersprachen auf der Welt, sie steckt in Windows-Computern ebenso wie in Smartphones oder Spielkonsolen. Java-Bibliotheken sind Software-Module, die zur Umsetzung bestimmter Funktionalitäten in weiteren Produkten verwendet werden. Es ist also nichts, womit sich PC-Privatanwender tagtäglich beschäftigen, es handelt sich um eine Materie für IT-Profis, die sich zum Beispiel um Computerserver kümmern.

          Thiemo Heeg
          Redakteur in der Wirtschaft.

          Und doch lässt diese Nachricht auch Laien nicht unberührt: In der weitverbreiteten Java-Bibliothek Log4j wurde eine kritische Schwachstelle (Log4Shell) entdeckt, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einem weitreichenden Schritt bewogen hat. Am Samstag stufte das BSI seine Cybersicherheitswarnung hoch. Jetzt gilt die höchste – „Warnstufe Rot“. Das bedeutet: Die IT-Bedrohungslage ist extrem kritisch. Und in diesem Fall droht laut BSI: „Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden.“

          Auswirkungen „auf unzählige weitere Produkte“

          Nun sind am Wochenende weder die Seiten von Amazon oder Twitter ausgefallen noch das Internet insgesamt. Und doch machen sich die Experten der Bonner IT-Sicherheitsbehörde Sorgen. Schließlich sei das betroffene Produkt sehr weit verbreitet, und damit seien Auswirkungen „auf unzählige weitere Produkte“ verbunden. Die Schwachstelle sei zudem einfach ausnutzbar. Es gebe einen öffentlich verfügbaren Machbarkeitsnachweis, einen sogenannten Proof-of-Concept. Im schlimmsten Fall könnten Hacker ein betroffenes System komplett übernehmen. Dass es sich hier nicht nur um Theorie handelt, haben die Sicherheitsexperten schon festgestellt. „Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet.“

          Natürlich ist das keine wirklich große Überraschung: Sobald in der IT-Welt Software-Schwachstellen bekannt werden, treten Cyberkriminelle auf den Plan, die diese auszunutzen versuchen. Im Falle der Java-Bibliothek Log4j ist noch vieles unklar. „Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar“, räumt die Behörde ein. Zwar gebe es schon ein Sicherheits-Update, allerdings müssten alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Welche Produkte das sind und für welche es schon Updates gibt? „Derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen“, heißt es. Zumindest sei zu erwarten, dass in den kommenden Tagen weitere Produkte als verwundbar erkannt würden.

          Das Computerportal heise.de verweist darauf, dass unter anderem Dienste von Apple, Twitter, Steam, Amazon „und vermutlich sehr viele kleinere Angebote“ betroffen seien. Administratoren sollten dringend aktiv werden, so der Ratschlag. Unterdessen arbeiten IT-Sicherheitsfirmen und Java-Spezialisten daran, die Schwachstelle zu stopfen. So baut der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe blockieren soll. Experten warnen, dass nicht nur Onlinesysteme gefährdet seien. Auch ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, heißt es. Das BSI riet insbesondere Unternehmen und Organisationen, Updates einzuspielen, sobald diese für einzelne Produkte verfügbar sind.

          Weitere Themen

          Topmeldungen

          Trotz guter Verbindungen verurteilt: Sijawudin Magomedow im Gerichtssaal

          Russlands Justiz : Loyalität schützt nicht vor Lagerhaft

          In Moskau ist der Prozess gegen die Brüder Magomedow zu Ende gegangen. Er zeigt, dass in Russland nicht nur Oppositionelle ins Gefängnis wandern. Auch systemtreue Unternehmer sind nicht vor Willkür gefeit.

          Schweizer Sieg gegen Serbien : Schweizer Fingerzeig

          Die Eidgenossen besiegen Serbien in einer höchst unterhaltsamen und zum Schluss hitzigen Partie mit 3:2 und schaffen es als Gruppenzweiter in die K.o.-Phase.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Die wichtigsten Nachrichten direkt in Ihre Mailbox. Sie können bis zu 5 Newsletter gleichzeitig auswählen Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.