- Eine Schwachstelle in einem Software-Modul, das auf vielen Computern vorhanden ist, sorge zurzeit für eine «extrem kritische Bedrohung». Das schreibt das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).
- Der Grund: Das betroffene Element der Software Java sei sehr weit verbreitet und hänge mit vielen anderen Produkten zusammen.
- Es habe in diesem Zusammenhang bereits auf der ganzen Welt versuchte und auch erfolgreiche Cyber-Angriffe gegeben, schreibt das Amt weiter.
Das BSI setzte am Samstag die Warnstufe mit Blick auf die Sicherheitslücke von Orange auf Rot hoch. Bei Stufe Rot handelt es sich um die höchste Kategorie der vierstufigen Skala des deutschen Bundesamtes. Es ist die gegenwärtig einzige Meldung in dieser Stufe. Die Behörde warnte vor einer «extrem kritischen Bedrohungslage», räumte aber auch ein, dass das Ausmass aktuell noch nicht abschliessend feststellbar sei.
System könnte übernommen werden
Die Schwachstelle befinde sich in einer viel benutzten Bibliothek für die Java-Software. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen und sie kompromittieren können. Es wäre gar möglich, das betroffene System vollständig zu übernehmen.
Die Schwachstelle ist auf einige Versionen der Bibliothek mit dem Namen Log4j beschränkt. «Aktuell ist noch nicht bekannt, in welchen Produkten diese Bibliothek eingesetzt wird, was dazu führt, dass zum jetzigen Zeitpunkt noch nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind», schränkte das BSI ein.
«Updates umgehend installieren»
«Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden», empfahl das Amt den Diensteanbietern. IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten daran, die Schwachstelle zu stopfen. So baute der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe blockieren soll.
Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch ein QR-Scanner oder ein kontaktloses Türschloss könnten beispielsweise angegriffen werden, wenn sie Java und Log4j benutzten, betonte Cloudflare.
BSI-Präsident Arne Schönbohm und der frühere Bundesinnenminister Horst Seehofer hatten zuletzt von einer zunehmenden Gefährdung durch Cyberangriffe gewarnt. Im vergangenen Jahr wurden dem BSI zufolge 144 Millionen neue Schadprogramm-Varianten festgestellt, was ein Zuwachs von 22 Prozent im Vergleich zum Vorjahr sei.
