Log4j-Schwachstelle 13.12.2021, 10:18 Uhr

Warnstufe Rot: Wettlauf um Sicherheitslücke in Server-Software

Eine gefährliche Schwachstelle in einer Server-Software lässt die Alarmglocken bei IT-Experten läuten. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Wochenende seine Warnstufe zu der Sicherheitslücke von Orange auf Rot hoch.
In der Java-Bibliothek Log4j klafft ein Loch, das bereits für Angriffe verwendet wird
(Quelle: HNewberry/Pixabay)
Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hiess es zur Begründung. «Das Ausmass der Bedrohungslage ist aktuell nicht abschliessend feststellbar», warnte das Amt, das auch für die IT-Sicherheit der Bundesregierung verantwortlich ist.
Die Schwachstelle steckt in einer oft genutzten Bibliothek für die Java-Software. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen können. Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen. Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.

Wettlauf mit den Hackern

Unsichtbar für die Internet-Nutzer lief am Wochenende ein Wettlauf zwischen IT-Experten und Online-Kriminellen, die automatisiert nach anfälligen Servern suchen lassen. «Im Moment liegt die Priorität darauf, herauszufinden, wie weit verbreitet das Problem wirklich ist», sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. «Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden.»
Besonders heimtückisch: Angreifer könnten jetzt mit Hilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost. «Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später.»



Das könnte Sie auch interessieren