Die Angriffswellen rollen. Die Attacken auf Millionen von Privat- und Unternehmensrechnern nehmen faktisch stündlich zu, und die einschlägigen Behörden haben die Alarmsirenen schon angeworfen. Zwar ist die kritische Schwachstelle in der beliebten Java-Bibliothek Log4j erkannt und analysiert; auch lässt sich die Lücke seit Tagen schon durch erste sogenannte Patches schließen; doch aufgrund der weiten Verbreitung der Protokollierungs-Bibliothek auf rund drei Milliarden Computern in aller Welt stehen Datendieben nach wie vor Türen und Tore offen.

Nach Angaben der IT-Sicherheitsanalysten von Bitdefender sei die Herkunft der Attacken verschleiert und bis auf das sogenannte Darknet mit seinen kriminellen Hackern zurückzuführen. Allerdings poppen die Angriffe in Rechenzentren westlicher Industrieländer wie Deutschland, den Vereinigten Staaten und den Niederlanden auf. Das hat eine Analyse der Bitdefender Labs Honeypots und der Telemetrie von mehreren Hundert Millionen Endpunkten in den Tagen nach Bekanntwerden der Sicherheitslücke ergeben.

Ist Deutschland ein Hort der Hacker?

Die deutsche IT-Sicherheitsbehörde BSI geht von einer breiten Ausnutzung der Schwachstelle aus. Es wird mit einer wahren Angriffswelle gerechnet. „Es ist, als ob in einer Stadt mit hoher Kriminalitätsrate plötzlich alle Haustüren offen stehen“, sagt Martin Zugec, einer der Technikchefs von Bitdefender. „Das lädt Diebe geradezu ein.“ Analysen zeigten schon auf, dass mehr als ein Drittel aller global registrierten Attacken derzeit aus Deutschland stammten. Heißt das, dass Deutschland ein Hort der Hacker sei? Nein, sagt Zugec. Vielmehr operierten die Angreifer vom Darknet aus. So können sie anonym bleiben, ihre Aktionen verschleiern und falsche Spuren legen. Sie schleichen sich mit ihren Programmen über virtuelle Tunnel an die Systeme ihrer Opfer an, dringen in sie über die Log4j-Schwachstelle ein, kapern sie und warten auf eine gute Gelegenheit, Beute zu machen.

„Wir gehen davon aus, dass es in der Weihnachtszeit zu einer wahren Angriffswelle kommen könnte“, sagt Zugec. Und damit steht er nicht allein. Die Behörden und Sicherheitsunternehmen rund um den Globus sind im Alarmmodus. Auf der Seite der Angegriffenen ist laut Bitdefender jedes zweite attackierte Netzwerk derzeit in den USA, gefolgt von Kanada und Großbritannien (je 8 Prozent). Deutschland liegt mit 6 Prozent auf Platz fünf.

Log4j sei das perfekte trojanische Pferd, erklärt Dominik Bredel vom IT-Dienstleister Kyndryl in einem Blog. Eigentlich erfülle es mit der Registrierung von Daten eine eher unspektakuläre Aufgabe. Da aber jedes System ein Register brauche, ist Log4j in Milliarden Rechnern verbaut. Seine Schwachstelle sei faktisch wie ein Generalschlüssel zu zahlreichen IT-Systemen. So sind viele Hacker momentan dabei, mit automatisierter Software im Internet zu checken, wo solche Log4j-Schwachstellen sind. Einmal entdeckt, können sie eine Erpressersoftware in den Systemen ihrer potentiellen Opfer platzieren. Dabei kann diese Ransomware zunächst passiv bleiben – bis zu dem Tag, an dem sie aktiviert wird. Sie werde faktisch wie ein „Schläfer“ eingesetzt, der auf Knopfdruck aktiv wird, sagt Zugec von Bitdefender. Selbst wenn man die mittlerweile zur Verfügung stehenden digitalen Lückenschließer in den betroffenen IT-System implementiere, sei die Gefahr noch lange nicht gebannt.

Ein Teufelskreis

So rechnet der Softwarekonzern Mi­crosoft damit, dass staatlich unterstützte Angriffe aus verschiedenen Ländern immer raffiniertere Techniken einsetzen, um die Lücke auszunutzen. Bitdefender stellt fest, dass der Khonsari-Erpressungs-Trojaner schon seine Runde dreht. Der IT-Security-Dienst Check Point erklärte am Wochenende, 3,7 Millionen Angriffsversuche in aller Welt mit seinen Sicherheitsmaßnahmen abgewehrt zu haben.

Der Entwickler von Log4j, die Open-Source-Organisation Apache, eine Stiftung, die in der Regel unentgeltlich arbeitet sowie Software und Programmteile frei zur Verfügung stellt, reagierte rasch. Seit Bekanntwerden der Softwarelücke vor zehn Tagen ist das dritte große Up­date veröffentlicht. Der Programmierer Christian Grobmeier, der an Log4j mitarbeitete, schrieb am Samstag auf Twitter: „Ich weiß, es ist Wochenende, aber hier ist eine neue Log4j-2-Version 2.17. Bitte jetzt diesen Software-Patch aufspielen“, so sein Ratschlag, schließlich seien diese Updates gut.

Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist nur schwer abzusehen, welche Produkte und Dienste betroffen sein könnten. So sei das Ausmaß der Bedrohung nicht abschließend zu benennen. Wie die Sicherheitsunternehmen Bitdefender, Kyndryl und Check Point sieht auch das BSI eine Bedrohung auf breiter Front. Selbst durch das Scannen der eigenen Systeme sei eine mögliche Infektion von anfälligen Anwendungen nicht auszuschließen. Nutzen die Hacker doch nicht nur Techniken wie Kryptominer und Botnetze. Sie greifen auch zu Software, die für Sicherheitstests von IT-Systemen eingesetzt wird. Diese Programme sind klein und unauffällig, da sie im Speicher des Computers ausgeführt werden, und sie lassen sich via Log4j in die Systeme einbringen. Kryptominer missbrauchen Computersysteme, um massenhaft Daten zu „schürfen“; Botnetze sind riesige Gruppen infizierter und ferngesteuerter Computer, die etwa für Überlastungsangriffe auf bekannte Internetseiten (DDOS) missbraucht werden.

Diese seit Langem sehr beliebten Werkzeuge können Cyberkriminelle einsetzen, weil die angreifbare Java-Bibliothek mit Log4j es ihnen ermöglicht, sich aus der Ferne in die IT-Systeme ihrer Opfer zu schleusen. Selbst wenn bis dato noch keine Missbrauchsfälle bekannt sind, will die deutsche Cybersicherheitsbehörde BSI ihre ausgerufene „Warnstufe Rot“ bis auf Weiteres nicht wieder auf Gelb zurücksetzen.