Berlin. Eine schwerwiegende Schwachstelle in der Java-Protokollierungsbibliothek Log4j sorgt weltweit für Anspannung. Was darüber bekannt ist.

Log4j – ein weitverbreiteter Software-Bestandteil mit diesem kryptischen Namen alarmiert IT-Expertinnen und Experten weltweit. Nach der Entdeckung einer offenbar überaus kritischen Sicherheitslücke liefern sich Hacker und Sicherheitsfachleute ein Wettrennen. „Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems“, lautet die eindringliche Warnung von Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Wie können sich Nutzerinnen und Nutzer schützen? Antworten auf die wichtigsten Fragen.

Log4j: Worin besteht die Sicherheitslücke?

Die Schwachstelle besteht in einem weitverbreiteten Software-Bestandteil namens Log4j. Dieses wird von IT-Abteilungen eingesetzt, um etwa Fehler zu protokollieren. Jetzt zeigte sich: Mit bestimmten Zeichenfolgen können Angreifer das System aus der Ferne übernehmen. Und zwar ohne großen Aufwand. Laut BSI handelt es sich um eine sehr einfach ausnutzbare Schwachstelle. Wie Log4j funktioniert, ist öffentlich einsehbar. „Man kann es also nachlesen, wie einfach es geht“, sagt Schönbohm. Um einen Server zu hacken, reicht im Zweifelsfall eine Eingabe in einem Chatfenster. Daher hat die Bundesbehörde die höchste Warnstufe ausgerufen.

Log4j Exploit: Wie groß ist die Gefahr durch die Schwachstelle?

IT-Sicherheitsexperten sehen wegen der weiten Verbreitung von Log4j und der einfach auszunutzenden Schwachstelle ein besonders großes Risiko. Das BSI spricht von einer „extrem kritischen Bedrohungslage“. Möglich sind etwa diese Szenarien: Kriminelle schleusen durch die Hintertür ein Programm ein, das alle Daten verschlüsselt – sogenannte Ransomware. Dahinter stehen Erpresser, die Geld für die Freigabe der Daten verlangen. Die Schwachstelle könne auch für viele weitere Angriffsformen genutzt werden, etwa die Übernahme des gesamten Systems.

Die Attacken könnten erst in einigen Wochen oder Monaten durchgeführt werden, nachdem eine erfolgreiche Infektion stattgefunden hat. „Erste erfolgreiche Angriffe wurden öffentlich gemeldet“, sagt Schönbohm. „Wir gehen davon aus, dass die Auswirkungen dieser Schwachstelle über die kommenden Tage und Wochen immer deutlicher werden. Wenn sie einmal drin sind, sind sie drin – und es ist eine Frage des Angreifers, wann er dies ganz gezielt ausnutzt.“

Lesen Sie dazu auch: Cyber-Kriminalität wächst dank Corona stark

Log4j: Wer ist von der Sicherheitslücke betroffen?

In erster Linie betrifft das Problem Unternehmen und Organisationen, die Software anbieten oder Server betreiben. Diese müssen das Einfallstor für Schadsoftware schnellstmöglich schließen. „Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar“, sagt BSI-Präsident Schönbohm. Vorsichtshalber haben beispielsweise einige Bundesbehörden ihre Internetseiten abgeschaltet. Auch IT-Giganten wie Google oder SAP hatten offenbar mit der Sicherheitslücke zu kämpfen.

Java: Wird die Hintertür geschlossen?

Dies geschieht durch Softwareupdates. Laut BSI-Präsident ArneSchönbohm ist die Aktualisierung für die betroffene Java-Bibliothek Log4j bereits verfügbar. Allerdings müssen die Softwarehersteller nun alle Produkte, die Log4j verwenden, anpassen. „Dieser Prozess kann noch einige Zeit in Anspruch nehmen“, sagt er. Es sei davon auszugehen, dass es auch in Deutschland zu erfolgreichen Angriffen gekommen ist. „Und wenn man sich nicht schützt, auch kommen wird.“

• Strafbare Inhalte im Whatsapp-Status – Das ist verboten
• Die besten Whatsapp-Tipps für den Urlaub
• Whatsapp auf Android und iPhone aktualisieren – Schritt für Schritt erklärt
• Whatsapp-Chat mit einem Passwort sichern – So geht‘s
• Heimlich Whatsapp-Gruppen verlassen – Wie das möglich ist

Log4j: Wie wurde die Sicherheitslücke entdeckt?

IT-Experten wurden am Donnerstag vergangener Woche zunächst auf Servern des beliebten Onlinespiels Minecraft auf das Problem aufmerksam. Wenig später zeigte sich, dass Cyberkriminelle weltweit Massenscans durchführen, um Einfallstore auf ungeschützten Servern zu finden. „Es gibt Hinweise darauf, dass es diese Schwachstelle bereits sehr lange gegeben hat“, sagt der BSI-Präsident.

Log4j: Was müssen Verbraucher beachten?

Die Log4j-Funktionen können nur IT-Expertinnen und -Experten von Hand abschalten. Endkunden seien zunächst nicht so stark von der Sicherheitslücke betroffen wie Unternehmen und Organisationen. Daher sollten sich Verbraucher an diesen Ratschlag des BSI halten: „Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden.“ Diese würden von einer Vielzahl von betroffenen Softwareanbietern bereits umgesetzt. In einigen Fällen geschehe die Aktualisierung auch unbemerkt im Hintergrund.