Cybersecurity 14. Dez 2021 Von Regine Bönsch

Sicherheitslücke bedroht Firmen und Behörden

Eine gefährliche Schwachstelle in einer viel benutzten Serversoftware lässt die Alarmglocken von IT-Spezialisten läuten. Der Cyber-Sicherheitsrat Deutschlands fordert, dass die Politik Unternehmen und Verbraucher mehr schützen sollte.


Foto: panthermedia.net/MarkoAliaksandr

Am letzten Samstag schlug das Bundesamt für Sicherheit in der Informationstechnik (BSI) Alarm. Die Warnmeldung der Behörde schaltete von Orange auf Rot – die aktuell also größte Bedrohung im Cyberraum. Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es zur Begründung. „Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar“, warnte das Amt, das auch für die IT-Sicherheit der Bundesregierung verantwortlich ist.

Die am Wochenende aufgedeckte Schwachstelle im Log4j-Programm sei ein Sicherheitsnotfall für jede und jeden, erklärt der Cyber-Sicherheitsrat Deutschland. Große Firmen und private Nutzer von Apple, Google, Amazon und anderen Anwendungen stünden nun angreifbar da, weil eine weit verbreitete Komponente von Java-Software eine Sicherheitslücke aufweist.

Millionenfache Gefährdungslage

„Stellen Sie sich vor, der standardmäßig genutzte Mauerstein Ihres Hauses hält nicht und bringt das ganze Gebäude in Einsturzgefahr – gleichzeitig nutzen Kriminelle den Stein, um Ihnen die Scheibe einzuschlagen. Diese Gefährdungslage haben wir nun millionenfach bei der Log4j-Schwachstelle“, so anschaulich skizziert Hans Wilhelm Dünn, Präsident des Cyber-Sicherheitsrats die aktuelle Bedrohung im Netz.

Der Cyber-Sicherheitsrat wurde 2012 gegründet und berät von Berlin aus – politisch neutral – Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit. Zu den Mitgliedern des Vereins zählen große und mittelständische Unternehmen, Betreiber kritischer Infrastrukturen sowie Bundesländer und -institutionen.

Baustein aus dem Open-Source-Verfahren

Der Programmbaustein Log4j wurde im Open-Source-Verfahren entwickelt und von zahlreichen Softwareherstellern übernommen. Er dient dazu, die Aktivitäten eines Programms zu protokollieren, um Probleme im Nachhinein lösen zu können. Die aufgetretene Schwachstelle ermöglicht es Eindringlingen, eigenen Programmcode ins Protokoll zu schreiben und auszuführen. Mögliche Ziele sind dabei die Nutzung fremder Computer zur Herstellung von Kryptowährungen, die Verschlüsselung von Dateien zum Erpressen von Lösegeld, aber auch eine vollständige Übernahme des Systems.

Da die Sicherheitslücke von den Programmbetreibern geschlossen werden muss, sind Firmen und Verbraucher aktuell hilflos. Der Vorfall zeige, so der Sicherheitsrat, die Abhängigkeit von Softwarekomponenten – sowohl bei einzelnen Personen als auch bei großen Konzernen. Hans-Wilhelm Dünn empfiehlt in dieser Situation: „Installieren Sie unverzüglich die Updates, die Ihnen angeboten werden. Sichern Sie alle Ihre relevanten Daten offline, um das Schadenspotenzial gering zu halten.“

Handys und Tablets noch nicht betroffen

Zwar gab das BSI am gestrigen Montag ein Stück weit Entwarnung. Noch hätte die gefährliche Sicherheitslücke noch keine unmittelbaren Folgen für Verbraucherinnen und Verbraucher. „Handys und iPads sind davon bisher nicht betroffen, das muss man ganz klar sagen“, erklärte Arne Schönbohm, BSI-Präsident. Betroffen seien vielmehr Behörden und Unternehmen und „am Ende der Verbraucher, der diese Dienstleistungen nutzt“.

Für Dünn steht fest: „Wir dürfen uns nicht blind darauf verlassen, was Softwareanbieter uns in ihre Programme schreiben. Unternehmen und Verbraucher haben nicht die Expertise, um sich vor den Fehlern anderer zu schützen.“ Deshalb müsse die Politik handeln und eine unabhängige Zertifizierung von sicherheitsrelevanter Software ermöglichen. „Sicherheit ist eine Staatsaufgabe – diesem Anspruch muss die Bundesregierung auch im digitalen Raum gerecht werden.“

Themen im Artikel

Ein Beitrag von:

Stellenangebote

EnBW Energie Baden-Württemberg AG

Ingenieur im Teilprojekt "Innerparkverkabelung (IAG)" für Offshore Windparks (w/m/d)

Hamburg
EnBW Energie Baden-Württemberg AG

Ingenieur der Elektrotechnik für Offshore-Wind (w/m/d)

Hamburg
Hochschule Biberach Biberach University of Applied Sciences

W 2-Professur Projektsteuerung und Projektmanagement Bau

Biberach
FH Aachen

Professur "Mechatronik mit Schwerpunkt Systems Engineering"

Aachen
Landtag Nordrhein-Westfalen

Stellvertretende Referatsleitung in Verbindung mit der Leitung des Sachbereichs "Technische Gebäudeausrüstung (TGA)" (m/w/d)

Düsseldorf
Technische Hochschule Deggendorf

Professur (d/m/w) für das Lehrgebiet "Digitales Baumanagement"

Pfarrkirchen
Hochschule Kempten

Professur (m/w/d) Geoinformatik

Kempten
Technische Universität Darmstadt

Gastprofessuren für Talente aus der Industrie

Darmstadt
Hochschule für Technik und Wirtschaft des Saarlandes

W2-Professur für Mechatronische Konstruktionen

Saarbrücken
Hochschule für angewandte Wissenschaften München

Professur für Technische Informatik - Schwerpunkt Hardware (W2)

München
Zur Jobbörse

Das könnte Sie auch interessieren

Empfehlungen des Verlags

Top 5 aus der Kategorie Informationstechnik