Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat am Freitag die höchste Warnstufe ausgerufen. In der Software-Bibliothek „Log4j“ befindet sich eine Sicherheitslücke. Das BSI spricht von einer „extrem kritischen IT-Sicherheitslage“. Was bedeutet das für mich als Endgerätnutzer:in und was kann ich dagegen tun?
Durch die Sicherheitslücke „Log4Shell“ in der Software-Bibliothek „Log4j“ können Hacker in die Server der jeweiligen Firmen eindringen oder sie sogar übernehmen. Das ist besonders kritisch, da fast alle Online-Dienste Java-Anwendungen mit diesem Open-Source-Werkzeug benutzen.
Mit der Software-Bibliothek „Log4j" beobachten IT-Abteilungen, was in den Java-Programmen auf ihren Servern passiert und um Fehler zu entlarven. Dieses Werkzeug wird von vielen Unternehmen wie Apple, Google, Tesla, Amazon oder auch von deutschen Bundesbehörden verwendet.
Was können Hacker anstellen?
Ist es den Angreifern erst einmal gelungen, durch die Schwachstelle in den Server einzudringen, so können sie Nutzerdaten, Zugangsdaten und Zahlungsdaten abgreifen, Schadsoftware installieren oder die Server mit Ransomware komplett lahmlegen. Aus diesem Grund haben bereits einige Behörden ihre Online-Services eingestellt. Ransomsoftware durchforstet Festplatten und verschlüsselt wichtige Daten, sodass keiner mehr Zugriff darauf hat. Laut Spiegel.de wurden bereits Teile der Telematikinfrastruktur vom Netz genommen.
"Das Internet brennt"
IT-Spezialisten befürchten, dass künftig mit mehr Erpressungsversuchen über das Netz zu rechnen ist. Wie hoch das Ausmaß dieser Sicherheitslücke ist, kann jetzt noch nicht gesagt werden. Professionelle Täter dringen in die Systeme ein und beobachten die Lage oft monatelang, bevor sie handeln. Laut Amit Yoran Chef der IT-Sicherheitsfirma Tenable handle sich um die „schlimmste Sicherheitslücke des vergangenen Jahrzehnts". „Das Internet brennt“, sagte gar Adam Meyers, ein hochrangiger Manager der Firma Crowdstrike.
Wie kann ich meine Geräte und Daten schützen?
Als Endgerätnutzer:in kannst du in erster Linie nicht viel machen, außer du betreibst selbst einen Server. Log4j läuft nicht auf deinem Handy oder Computer. Um deine Daten besser zu schützen, solltest du deine Onlinekonten besser absichern. Das funktioniert am besten durch die Zwei-Faktor-Authentifizierung. Hier musst du neben Benutzernamen und Passwort auch noch einen Code eingeben, der nur von deinem eigenen Smartphone erstellt werden kann. Selbst wenn Kriminelle deine Zugangsdaten erbeuten, können sie ohne den Code nichts mit deinen Onlinekonten anfangen. Außerdem solltest du auf dein Handy immer die neuesten Updates laden.
Apps zur Zwei-Faktor-Identifizierung:
Microsoft Authenticator (App-Store, Google Play-Store)
Authentificator (App-Store, Google Play-Store)
Was müssen IT-Abteilungen von Unternehmen machen?
Seit Freitag machen womöglich alle Arbeiter der IT-Abteilungen Überstunden, denn es ist ein Wettlauf gegen die Zeit, um die Sicherheitslücke zu schließen. Zunächst muss sich klargemacht werden, welche Programme „Log4j“ verwenden. Nicht benötigte Systeme müssen abgeschaltet werden. Außerdem muss protokolliert werden, welche eingehenden und ausgehenden Verbindungen registriert worden sind. Am wichtigsten ist wahrscheinlich das Installieren der aktuellen „Log4j“ Version.
Warum gibt es die Sicherheitslücke?
Das Open-Source-Werkzeugs „Log4j“ wird von zwei Freiwilligen gepflegt. Diese machen das zu meist in ihrer Freizeit und unentgeltlich, weshalb es hier auch zu einer Vernachlässigung gekommen ist. Open-Source-Software ist eine freizugängliche Computersoftware, die von den Entwicklern für jedermann zur Verfügung gestellt wird. Diese können den Code für alle Zwecke verwenden. Der Vorteil von Open-Source-Software ist, dass der Code für Fachleute einsehbar ist und sie ihn verbessern können.