Eine Sicherheitslücke in einer Java-Komponente Log4j sorgt seit dem Wochenende für schlaflose Nächte bei IT-Dienstleistern und Firmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die höchste Warnstufe Rot ausgesprochen. Und stark vereinfacht bedeutet dies, dass es Hackern leicht möglich ist, dank eines weit verbreiteten Programmschnipsels ganze Systeme zu kapern und zu übernehmen. Verwendet wird es in den größten Unternehmen: zum Beispiel im Serverdienst von Amazon oder Apples iCloud.

Anzeige

Wie ernst die Lage ist, zeigt ein Statement des IT-Sicherheitsexperten Amit Yoran, Chef des Cybersecurity-Unternehmens Tenable. Es handle sich um die „größte und kritischste Schwachstelle des letzten Jahrzehnts“, zitiert die FAZ den Fachmann. Und er geht sogar noch weiter. „Wenn alle Untersuchungen abgeschlossen sind, könnten wir tatsächlich feststellen, dass es sich um die größte einzelne Schwachstelle in der Geschichte des modernen Computing handelt.“ Yoran muss es wissen: Er hat viele Jahre die IT-Sicherheitsstrategie des Ministeriums für Innere Sicherheit der Vereinigten Staaten verantwortet.

Ziel der Attacken sind Server

Doch was verbirgt sich hinter der Schwachstelle? Der ausgenutzte Fehler ist in einer beliebten Java-Codebibliothek namens Log4j (Logging for Java) enthalten. Die Lücke erlaubt es, große Server anzugreifen, Systeme zu übernehmen und entsprechend auch hochsensible Daten zu stehlen. Hierfür durchsuchen die Hacker das Netz automatisiert nach verwundbaren Systemen. Nutzen die Angreifer die Lücke erfolgreich aus, erhalten sie praktisch eine Shell (Hülle), so erklärt der Sicherheitsdienst Sophos. Das heißt, sie können jeden Systemcode ihrer Wahl ausführen - und folglich nicht nur Schadsoftware installieren, sondern das System komplett übernehmen.

Betroffen ist die aktuelle Version der Log4J-Bibliothek mit der Version 2. Dabei dient die Komponente eigentlich dazu, Software-Entwicklern und Betreibern die Arbeit zu erleichtern. Sie erlaubt es, Log-Einträge in Software-Produkten aufzuzeichnen: Damit lässt sich das korrekte Verhalten einer Software kontrollieren. Doch das ist auch das Problem dabei: Das Hilfsprogramm vermerkt alles, was auf einem System passiert. Und lässt sich leicht überlisten:

Dabei machen sich die Angreifer zunutze, dass der Server selbst nach harmlosen Anfragen automatisch Programmcode ausführt, sobald bestimmte Zeichenketten an den Server zurückgeschickt werden. Auch fremde Daten und Befehle werden -sobald eingeschleust- in die Logdatei übernommen. So lassen sich „Sprengfallen“ platzieren: Der Server wandelt die Daten in ein Format um, das es erlaubt, diese Daten zu protokollieren. Und übernimmt auch die Malware mit. Hierfür benötigen die Angreifer im Idealfall nicht einmal ein Passwort. Sogar ein unerfahrener Hacker könne von solchen Schwachstellen profitieren, berichtet Evgeny Lopatin, Sicherheitsexperte bei Kaspersky.

Wie einfach es den Hackern gemacht wird, geht aus einem Beispiel des Bundesamts für Sicherheit in der Informationstechnik hervor. "Im populären Online-Videospiel Minecraft beispielsweise sollen Kriminelle die Lücke auf gewissen Servern ausnutzen können, indem sie lediglich bestimmte Chat-Nachrichten eingeben. Damit könnten sie Spielserver oder Accounts übernehmen und so die IT-Sicherheit der Spielerinnen und Spieler gefährden", berichtet die Behörde. Das Hacken: ein Kinderspiel.

Wettlauf zwischen Hackern und Sicherheitsexperten

Ein weiteres Problem: Die Sicherheitslücke wurde öffentlich kommuniziert, bevor Sicherheitsexperten entsprechende Patches entwickeln konnten, um sie zu schließen. Am Wochenende ist daher ein Wettlauf zwischen Hackern und IT-Dienstleistern entbrannt. Das BSI warnte am Sonntag, dass die Schwachstelle bereits von vielen Kriminellen aktiv ausgenutzt werde. Unter anderem werde die Rechenkraft gehackter Server von sogenannten „Kryptominern“ genutzt, um die enorm energieaufwendigen Kryptowährungen wie Bitcoin zu schürfen.

Doch die Attacken müssen nicht sofort erfolgen. Angreifer bauen unauffällige Hintertüren in die gehackten Systeme ein, um zum Beispiel in ein paar Wochen eine Ransomware-Attacke zu starten. Dabei werden Daten von Unternehmen verschlüsselt, um dann Lösegeld zu erpressen. „Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später“, zitiert spiegel.de Rüdiger Trost von der IT-Sicherheitsfirma F-Secure.

Anzeige

Die notwendigen Wartungsarbeiten haben dazu beigetragen, dass auch einige Gesundheitsdienste der Krankenkassen nur eingeschränkt nutzbar waren. Das geht aus Informationen auf der Webseite von Gematik hervor, die unter anderem die elektronischen Gesundheitskarten und die Patienakten betreuen. Zwischenzeitlich sei das Versichertenstammdatenmanagement (VSDM) nicht nutzbar gewesen. "Die aktuellen Wartungsmaßnahmen betreffen zurzeit nur noch die Nutzung der ePA für AOK-Versicherte. Das VSDM ist wieder für alle Versicherten erreichbar", heißt es nun auf der Webseite.

Seite 1/2/