Sicherheitslücke bedroht Firmen und Behörden

Eine gefährliche Schwachstelle in einer viel benutzten Serversoftware lässt die Alarmglocken von IT-Spezialisten läuten. Der Cyber-Sicherheitsrat Deutschlands fordert, dass die Politik Unternehmen und Verbraucher mehr schützen sollte.

Am letzten Samstag schlug das Bundesamt für Sicherheit in der Informationstechnik (BSI) Alarm. Die Warnmeldung der Behörde schaltete von Orange auf Rot – die aktuell also größte Bedrohung im Cyberraum. Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es zur Begründung. „Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar“, warnte das Amt, das auch für die IT-Sicherheit der Bundesregierung verantwortlich ist.

Die am Wochenende aufgedeckte Schwachstelle im Log4j-Programm sei ein Sicherheitsnotfall für jede und jeden, erklärt der Cyber-Sicherheitsrat Deutschland. Große Firmen und private Nutzer von Apple, Google, Amazon und anderen Anwendungen stünden nun angreifbar da, weil eine weit verbreitete Komponente von Java-Software eine Sicherheitslücke aufweist.

Millionenfache Gefährdungslage

„Stellen Sie sich vor, der standardmäßig genutzte Mauerstein Ihres Hauses hält nicht und bringt das ganze Gebäude in Einsturzgefahr – gleichzeitig nutzen Kriminelle den Stein, um Ihnen die Scheibe einzuschlagen. Diese Gefährdungslage haben wir nun millionenfach bei der Log4j-Schwachstelle“, so anschaulich skizziert Hans Wilhelm Dünn, Präsident des Cyber-Sicherheitsrats die aktuelle Bedrohung im Netz.

Der Cyber-Sicherheitsrat wurde 2012 gegründet und berät von Berlin aus – politisch neutral – Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit. Zu den Mitgliedern des Vereins zählen große und mittelständische Unternehmen, Betreiber kritischer Infrastrukturen sowie Bundesländer und -institutionen.

Baustein aus dem Open-Source-Verfahren

Der Programmbaustein Log4j wurde im Open-Source-Verfahren entwickelt und von zahlreichen Softwareherstellern übernommen. Er dient dazu, die Aktivitäten eines Programms zu protokollieren, um Probleme im Nachhinein lösen zu können. Die aufgetretene Schwachstelle ermöglicht es Eindringlingen, eigenen Programmcode ins Protokoll zu schreiben und auszuführen. Mögliche Ziele sind dabei die Nutzung fremder Computer zur Herstellung von Kryptowährungen, die Verschlüsselung von Dateien zum Erpressen von Lösegeld, aber auch eine vollständige Übernahme des Systems.

Da die Sicherheitslücke von den Programmbetreibern geschlossen werden muss, sind Firmen und Verbraucher aktuell hilflos. Der Vorfall zeige, so der Sicherheitsrat, die Abhängigkeit von Softwarekomponenten – sowohl bei einzelnen Personen als auch bei großen Konzernen. Hans-Wilhelm Dünn empfiehlt in dieser Situation: „Installieren Sie unverzüglich die Updates, die Ihnen angeboten werden. Sichern Sie alle Ihre relevanten Daten offline, um das Schadenspotenzial gering zu halten.“

Handys und Tablets noch nicht betroffen

Zwar gab das BSI am gestrigen Montag ein Stück weit Entwarnung. Noch hätte die gefährliche Sicherheitslücke noch keine unmittelbaren Folgen für Verbraucherinnen und Verbraucher. „Handys und iPads sind davon bisher nicht betroffen, das muss man ganz klar sagen“, erklärte Arne Schönbohm, BSI-Präsident. Betroffen seien vielmehr Behörden und Unternehmen und „am Ende der Verbraucher, der diese Dienstleistungen nutzt“.

Für Dünn steht fest: „Wir dürfen uns nicht blind darauf verlassen, was Softwareanbieter uns in ihre Programme schreiben. Unternehmen und Verbraucher haben nicht die Expertise, um sich vor den Fehlern anderer zu schützen.“ Deshalb müsse die Politik handeln und eine unabhängige Zertifizierung von sicherheitsrelevanter Software ermöglichen. „Sicherheit ist eine Staatsaufgabe – diesem Anspruch muss die Bundesregierung auch im digitalen Raum gerecht werden.“