Für den Sicherheitsfachmann Amit Yoran ist die Sache klar. „Die Apache Log4j Remote Code Execution Vulnerability ist die größte und kritischste Schwachstelle des letzten Jahrzehnts.“ Der Vorstandsvorsitzende des Dienstleisters Tenable geht sogar noch weiter: „Wenn alle Untersuchungen abgeschlossen sind, könnten wir tatsächlich feststellen, dass es sich um die größte einzelne Schwachstelle in der Geschichte des modernen Computing handelt.“

Am Wochenende hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) deswegen die „Warnstufe Rot“ für die IT-Sicherheit ausgerufen. Und am Montag festigte sich allerorten die Einschätzung, dass die Softwarelücke in der weit verbreiteten Java-Bibliothek Log4j äußerst ernst zu nehmen ist. „Die Schwachstelle ist sehr einfach ausnutzbar“, sagte BSI-Präsident Arne Schönbohm in einer Pressekonferenz. Zudem gebe es Hinweise, dass es sie schon sehr lange gebe. „Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems.“

Nun müssten alle Produkte, die Log4j verwenden, angepasst werden, was noch eine Zeit lang dauern dürfte. Auch deshalb, weil die Software sehr tief in Systemen verankert ist, wie ein Sprecher sagte – und Unternehmen im schlimmsten Falle selbst gar nichts von ihr wissen, wenn sie zum Beispiel Software über Drittanbieter erhalten haben. Bislang lägen dem BSI keine Meldungen über erfolgreiche Angriffe vor, erläuterte Schönbohm – doch das sei nur eine Frage der Zeit: „Es ist davon auszugehen, dass es auch in Deutschland zu erfolgreichen Angriffen gekommen ist und auch – wenn man sich nicht schützt – kommen wird“, sagte Schönbohm. Er wies darauf hin, dass Hacker die Schwachstelle nutzen könnten, um Hintertüren einzubauen und erst Monate später zuzuschlagen.

Sogar Botnetze sind schon aktiv

Dass Cyberkriminelle darin zumindest ein wunderbares Angriffsziel sehen, ist schon seit ein paar Tagen klar. Seit dem Wochenende treten sie verstärkt auf den Plan, um die Lücke auszunutzen. „Welt- und deutschlandweit erfolgen derzeit Massen-Scans sowie versuchte Kompromittierungen“, konstatieren das BSI und der Digitalverband Bitkom. Evgeny Lopatin vom Sicherheitsspezialisten Kaspersky nennt Zahlen: „Derzeit beobachten wir einen aktiven Netzwerk-Scan, um die Sicherheitslücke zu entdecken, und aktuell hat jemand bei mehr als 15.000 unserer Nutzer nach der Sicherheitslücke gesucht.“

Einige der Nutzer könnten einem Angriffsversuch ausgesetzt gewesen sein, so ein erstes Fazit von Kaspersky. Der Anbieter Sophos verweist darauf, dass sogar schon mehrere automatisierte Botnetze – das sind Gruppen meist Tausender Computer, die von Cyberkriminellen ferngesteuert zu bestimmten Aktionen missbraucht werden – damit begonnen hätten, die Lücke ebenfalls auszunutzen.

In Deutschland befindet sich die Wirtschaft in Alarmbereitschaft. Mehrere von der Nachrichtenagentur Reuters befragte Konzerne, darunter Volkswagen , Deutsche Lufthansa und Deutsche Telekom , erklärten am Montag, ihre internen Sicherheitsvorkehrungen erhöht zu haben und die Lage genau zu beobachten. Bislang seien aber keine Angriffsversuche verzeichnet worden. Auch die Bundesverwaltung sowie kritische Infrastrukturen sind laut BSI von der Softwarelücke betroffen. Von einer erfolgreiche Ausnutzung ist jedoch bisher nichts bekannt. Deutschlands größte Reederei, Hapag-Lloyd , betonte, das Cybersecurity-Team habe reagiert und die IT-Systeme angepasst. Die Lufthansa rief eine Spezialtruppe zusammen, die alle Systeme und Anwendungen überprüfen soll. Von der Telekom hieß es, alle Kunden seien aufgerufen worden, Updates so schnell wie möglich zu installieren.

Der Geschäftsführer des Vereins „Deutschland sicher im Netz“, Michael Littger, sagte, die aktuellen Hacker-Angriffe über Log4j verdeutlichten den Nachholbedarf aller Beteiligten für IT-Sicherheit. Vor allem gehe es künftig darum, die Schutzvorkehrungen von betroffenen Organisationen schon im Vorfeld solcher Ereignisse deutlich zu verstärken.