4 minutes
Die weltweite Vernetzung von Computersystemen ermöglicht es uns, effizienter großindustriell zu produzieren, miteinander zu kommunizieren und Online einzukaufen. Nebenbei sorgen Onlinespiele und Streamingdienste für jede Menge Freizeitunterhaltung. Dabei beruht die Technik auf wenigen Standards, wie Programmiersprachen und Softwareschnittstellen, die sich im Laufe der Zeit durchgesetzt und immens verbreitet haben. Den meisten Konsumenten im Alltag sind diese unbekannt, obwohl maßgeblich verantwortlich für die Sicherheit und Funktion sämtlicher digitaler Kommunikation in Computernetzwerken. Entsteht aus welchen Gründen auch immer eine Sicherheitslücke, kostet das Zeit und Geld.
Sicherheitslücke macht Systeme angreifbar
Die kürzlich bekannt gewordene Sicherheitslücke ist nach Informationen der NZZ vom 15.12.2021 zuerst von Bitcoin-Schürfern ausgenutzt worden. Schon am 11. Dezember hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn, die höchste Alarmstufe Rot ausgerufen. In faz-net vom 12.12.2021 ist von einer „extrem kritischen IT-Bedrohungslage“ die Rede.
Dafür verantwortlich ist laut Wikipedia ein Fehler in Log4j, einem sogenannten „Framework zum Loggen von Anwendungsmeldungen in Java“. So das Fachchinesisch. Aufgrund der großen Verbreitung dieses De-facto-Standards stellt die entdeckte Lücke eine enorme Bedrohung für unzählige Computernetzwerke weltweit dar. Eine riesige Palette von Programmen, Onlinediensten und Geräten, wie Webkameras, Navigations- und Medizingeräten, kann davon betroffen sein, wie das Sicherheitsunternehmen „Sophos“ ebenfalls am 12.12.2021 sehr detailliert in englischer und Computer-Sprache aufzeigt.
Das spezielle Problem mit Log4j
Durch die Schwachstelle können beliebige Befehle/Code von Cyberkriminellen in Computersysteme eingeschleust und ausgeführt werden. „Den Möglichkeiten sind keine Grenzen gesetzt“, so DerStandard vom 14.12.2021. Dies kann zur kompletten Übernahme des Systems und den Aufbau von Botnetzen führen. Beispielsweise zur Generierung von Kryptowährungen, dem „Cryptojacking“, wie das oben erwähnte Bitcoin-Schürfen. Auch könnten sämtliche Daten entwendet und verschlüsselt werden, um anschließend Lösegeldforderungen zu stellen.
Auch viele Geheimdienste weltweit dürften sehr an der Lücke interessiert sein. Wie einfach es die Log4j-Sicherheitslücke einem Angreifer macht, stellt ein IT-Fachmann aus Bonn in einem rund 10-minütigen Video auf Youtube nachvollziehbar dar. Von den ersten Angriffen berichtet auch Heise.de am 16.12.2021. Diese sind Cyberkriminellen, aber eben auch staatlichen Geheimdiensten über die Arbeit von IT-Sicherheitsteams zuzuordnen. Selbst der Bundesfinanzhof (BFH), das oberste deutsche Finanzgericht mit Sitz in München, ist betroffen und mußte seine Website aufgrund eines Hackerangriffs abschalten, wie faz-net gestern schreibt. Weitere Bundesbehörden befinden sich in derselben Lage.
Die Lücke schließen
Um die Sicherheitslücke zu schließen, müssen die Anwender betroffener Systeme, diese per Update aktualisieren. In erster Linie sind dies Unternehmen, die Webseiten und Webservices bereitstellen. Dazu braucht es viel Know-How. Gerade in kleineren Unternehmen fehlt dies oftmals, weil hauptsächlich Fremdsoftware eingesetzt wird. Allein durch das Lokalisieren betroffener Komponenten entsteht ein großer Arbeitsaufwand.
Von einem enormen Schaden in Millionenhöhe für die deutsche Wirtschaft durch bereits laufende Angriffe von Cyberkriminellen, spricht Arne Schönbohm, der BSI-Präsident, im Spiegel vom 16.12.2021. Es ist davon auszugehen, dass dies nicht die letzten Angriffe gewesen sind. „Es wird ein Marathon sein, kein Sprint“ – zitiert die NZZ am 15.12.2021 einen IT-Experten. Somit werden die Reparaturarbeiten und präventiven Maßnahmen noch einiges an Zeit und Geld verschlingen.
Und hier wird es wieder richtig spitz(e).
#PreppoKompakt
Die Bedrohung durch Sicherheitslücken in Computersystemen ist groß. Gestohlene Nutzerdaten und deren Missbrauch sind eine mögliche Folge. Vor allem bedeutet es einen immensen Aufwand, betroffene Systeme zu identifizieren und die Lücken wieder zu schliessen. Für den Privatanwender ist es deshalb wichtig, die Systeme stets per Update aktuell zu halten und die neueste Softwareversion der Hersteller abzurufen. Dies fängt beim Smartphone an. Zudem empfiehlt es sich, unterschiedliche Passwörter bei den verschiedenen Onlinediensten zu verwenden. Damit nicht ein „Generalschlüssel“ in fremde Hände fällt, sollte einer der Dienste vom Datendiebstahl betroffen sein. Einfach unsere Hinweise im Handlungsfeld Datensicherheit beachten!