Verheerende Log4j-Schwachstelle »Leider machen auch Hacker Überstunden«

Deutschlands IT-Sicherheitsbehörde warnt auf höchster Stufe, sogar die Arbeit der NSA war zeitweise gefährdet. Im Netz tobt gerade ein Rennen zwischen guten und bösen Hackern. Grund ist eine schwere Sicherheitslücke.
So viele Zeichen braucht es gar nicht, um die Log4j-Schwachstelle auszunutzen: »Bitte alle mithelfen«

So viele Zeichen braucht es gar nicht, um die Log4j-Schwachstelle auszunutzen: »Bitte alle mithelfen«

Foto: Bernd Feil/M.i.S. / imago images/MiS

Für zahlreiche IT-Administratoren dürfte dieses Adventswochenende weniger besinnlich gewesen sein als erhofft. Seit sich am Freitag in Fachkreisen die Nachricht einer gravierenden Sicherheitslücke verbreitete, mussten IT-Sicherheitsexperten rund um die Welt Überstunden machen. Die Lücke liegt in dem sonst kaum beachteten, aber sehr weit verbreiteten Programmschnipsel Log4j. Betroffen sind einige der größten Dienste der Welt wie beispielsweise Amazons Server-Dienst AWS, Apples iCloud oder die Gaming-Plattform Steam.

Nun läuft im Netz ein Wettrennen zwischen Hackern und Sicherheitsexperten, die versuchen, ihre Systeme mithilfe der inzwischen bekannten Informationen und erster Updates abzusichern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die höchste, rote Warnstufe ausgerufen. »Bitte alle mithelfen«, twitterte Behördenchef Arne Schönbohm am Sonntag an die Community von IT-Sicherheitsexperten gerichtet. »Ja Leute, die Scheiße brennt lichterloh«, schrieb der deutsche IT-Sicherheitsexperte Manuel Atug auf Twitter. »Schönreden nützt nix.«

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Angriffe auf Server, statt einzelne iPhones

Um die Schwachstelle auszunutzen, greifen Hacker nicht die Geräte oder Onlinekonten einzelner Nutzerinnen und Nutzer an, sondern durchsuchen das Netz insgesamt automatisiert nach verwundbaren Systemen. In diese können sie dann vordringen und dort eigene Schadsoftware installieren, die es ihnen beispielsweise ermöglichen könnte, Daten zu stehlen.

Nutzerinnen und Nutzer sind also darauf angewiesen, dass die IT-Administratoren der betroffenen Firmen die Lücke schnell schließen. Außerdem haben gerade große Unternehmen mehrschichtige Schutzmechanismen, die verhindern sollen, dass Angreifer tief in ihre Systeme vordringen.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte am Sonntag, dass die Log4j-Lücke bereits aktiv von Kriminellen ausgenutzt würde. So habe es bereits »erfolgreiche Kompromittierungen« mit sogenannten »Kryptominern« gegeben. Dabei handelt es sich um kleine Programme, mit denen Kriminelle die Rechenkraft von infiltrierten Servern ausnutzen, damit diese für sie Geld in Form von Kryptowährungen wie Bitcoin schürfen. Grundsätzlich verwies das BSI auf eine »unvollständige Liste« mit über 140 betroffenen Unternehmen , die zumindest anfällig sein sollen.

Wenige Zeichen reichen

Die Schwachstelle ist auch deshalb so gefährlich, weil sie teils mit nur wenigen Zeichen ausgenutzt werden kann: Wer beispielsweise im Chat des Online-Videospiels Minecraft die richtige Zeichenfolge eintippt, der kann so den gesamten am aktuellen Spiel beteiligten Server übernehmen. Wer sein iPhone mit einer entsprechenden Ziffernfolge umbenannte, konnte zeitweise in Apples iCloud-Systeme vordringen. Das berichteten Sicherheitsforscher  panisch am Freitag, als das Ausmaß des Problems Stück für Stück bekannt wurde.

Die Log4j-Schwachstelle steckt in einer oft genutzten Bibliothek für die Java-Software. Sie ist zwar auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt, allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.

»Im Moment liegt die Priorität darauf herauszufinden, wie weit verbreitet das Problem wirklich ist«, sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. »Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden.«

Besonders heimtückisch: Angreifer könnten jetzt mithilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost. »Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später.« Ein solches Vorgehen ist unter anderem bei sogenannten Ransomware-Gruppen verbreitet, die Daten ihrer Opfer verschlüsseln und dann Lösegeld verlangen, damit sie sie wieder freigeben.

Unter kriminellen Hackern hat sich längst eine Art Schwarzmarkt gebildet, in dem verschiedene Gruppen arbeitsteilig vorgehen. Dort gibt es Gruppen, die darauf spezialisiert sind, Sicherheitslücken zu finden oder einfach in fremde Systeme vorzudringen. Die Zugänge verkaufen sie dann an andere, die sie dann für ihre Zwecke ausnutzen. Das Bundesamt für Sicherheit warnt daher auch, dass die »mit dieser Schwachstelle in Verbindung stehenden Angreiferaktivitäten in den nächsten Tagen deutlich zunehmen werden.«

Schwachstelle wird möglicherweise schon länger ausgenutzt

Besonders problematisch ist, dass zumindest einige Angreifer möglicherweise mehr Vorlauf hatten als zunächst angenommen. Das Problem wurde öffentlich bekannt, nachdem die Sicherheitslücke am Donnerstag auf Servern für das Onlinespiel »Minecraft« auffiel. Nachträglich stellte die IT-Sicherheitsfirma Cloudflare allerdings fest, dass schon mindestens seit dem 1. Dezember auf die Sicherheitslücke ausgerichtete Angriffsversuche im Umlauf waren. Allerdings habe es erst zum Wochenende Attacken auf breiter Front gegeben.

Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstebetreiber es installieren. Deshalb baute der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe blockieren soll. Experten warnten, dass nicht nur Onlinesysteme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, betonte Cloudflare.

NSA-Programm ebenfalls gefährdet

Die amerikanische IT-Sicherheitsbehörde CISA bildete eine Arbeitsgruppe unter anderem mit der Bundespolizei FBI und dem Geheimdienst NSA. »Diese Schwachstelle birgt ein erhebliches Risiko«, stellte die CISA fest. Sie betonte, dass die Sicherheit der Verbraucher von den Maßnahmen der Diensteanbieter abhängen werde.

Rob Joyce, Chef für Cybersicherheit beim US-Geheimdienst NSA, erklärte auf Twitter, dass sogar das NSA-Programm GHIDRA wegen der Log4j-Schwachstelle betroffen sei. Das Programm ist ein wichtiges Werkzeug für IT-Sicherheitsexperten, mit dem diese die Funktionsweise von Schadsoftware einfacher nachvollziehen können. So können sie Gegenmaßnahmen zu Schadsoftware entwickeln. Inzwischen wurde eine neue Version des frei verfügbaren Programms veröffentlicht.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

»Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden«, empfahl auch das BSI den Unternehmen. Das niederländische Cybersicherheitszentrum soll im Laufe des Sonntags noch eine Liste mit gesicherten Informationen zu betroffenen Herstellern veröffentlichen, hieß es. Man habe außerdem erste Hinweise darauf, dass die Schwachstelle »von Botnetzen ausgenutzt wird«, teilte das BSI weiter mit.

Die Schwachstelle rückt auch abermals ein bekanntes Problem der Techindustrie in den Mittelpunkt: Open-Source-Software wie Log4j wird von kleinen Programmierer-Teams entworfen und gepflegt, die dafür oft gar nicht bezahlt werden. Dann wird sie aber als kostengünstige Lösung von großen Unternehmen übernommen. Open-Source-Software gilt zwar grundsätzlich als sicher, weil ihr Quellcode öffentlich ist und von allen geprüft werden kann – manche Fehler werden dennoch übersehen.

MIt Material von dpa

hpp/dpa
Die Wiedergabe wurde unterbrochen.