Rechner werden mit "Log4j" Angreifern ausgeliefert. Laut Innenministerium auch Österreich betroffen.
Es herrscht Alarmstufe Rot. In einem Wettlauf mit der Zeit versuchen Experten weltweit, ein Desaster einzudämmen - doch die Rede ist nicht von Corona, sondern von einer Sicherheitslücke im Cyberspace. Der Durchschnittsbürger hat zwar noch nie etwas von "Log4j" gehört, geschweige denn davon, wofür das gut sein soll. Doch die Gefahr, die davon ausgeht, hat das deutsche Bundesamt für Sicherheit in der Informationstechnik dazu veranlasst, die höchste Warnstufe - Rot - auszurufen. Auf der CVSS-Skala (Common Vulnerability Scoring System, deutsch: Allgemeines Bewertungssystem für Schwachstellen) wurde das Risiko mit 10 - dem höchstmöglichen Wert - angegeben.
Grob vereinfacht gesprochen, protokolliert "Log4j" Ereignisse. Etwa die Terminvergabe bei einem Veranstalter. Also etwa: Herr Müller hat für 20. Dezember eine Reservierung vorgenommen. Nun ist es allerdings möglich, nicht nur die Information über dieses Ereignis zu übermitteln. Es kann auch in einem Datenfeld eine Anweisung für "Log4j" eingebaut werden, von einem Computer des Angreifers weitere Informationen für den Protokolleintrag nachzuladen. Wird dieser dann vom eigenen System kontaktiert, kann ein Programm eingeschleust werden, mit dem sich Hacker Zugriff auf den Computer verschaffen.
Weit verbreitet undeinfach zu bewerkstelligen
Ein Problem daran ist, dass es für Menschen, die sich mit der Materie halbwegs auskennen, unglaublich leicht ist, sich diesen Zugang zu verschaffen. Das andere ist die Dimension: Denn "Log4j" ist der De-facto-Standard für das Protokollieren (Loggen) von Anwendungsmeldungen und dementsprechend weit verbreitet. Die Liste der möglicherweise Betroffenen reicht von Apples iCloud über das Online-Spiel "Minecraft" bis hin zum Elektroautohersteller Tesla.
"Betroffen sind hauptsächlich Firmen", erklärt Otmar Lendl vom Computer Emergency Response Team (Cert), der nationalen österreichischen Einrichtung für Internetsicherheit. Bei der Sicherheitslücke gehe es vor allem um Server, also Geräte, die Programme oder Daten über das Internet für andere bereitstellen. "Für den normalen Bürger besteht selten Handlungsbedarf. Der hat üblicherweise nichts im Einsatz, was betroffen sein könnte - eventuell noch Netzwerkfestplatten, aber auch das ist unwahrscheinlich."
Trotzdem kann es auch für Privatpersonen schnell gefährlich werden, wenn sie mit anfälligen Programmen in Kontakt kommen. Etwa, wenn eine Firma gefährdet ist und sich ihre Mitarbeiter aus dem Homeoffice mit ihrem Privatcomputer via VPN mit dem Netzwerk verbinden. Auch kleinere Unternehmen wie Hotels oder Arztpraxen arbeiten mit Systemen, die "Log4j" verwenden.
"Im Moment muss davon ausgegangen werden, dass auch Services in Österreich von der Verwundbarkeit betroffen sind", hieß es aus dem Innenministerium auf Anfrage. In Österreich arbeiten derzeit alle cybersicherheitsrelevanten Behörden im Zuge des "Inneren Kreises der operativen Koordinierung" mit Hochdruck an der Bewältigung dieser Herausforderung.
"Dabei ist man allerdings noch an einem GAU vorbeigeschrammt", erklärt Lendl. Denn auch das Handy-Betriebssystem Android verwende "Log4j" - glücklicherweise jedoch nicht den für die Sicherheitslücke verantwortlichen Teil davon.
Weltweit gibt es bereits Berichte von Angriffsversuchen, die zum Teil erfolgreich gewesen sein sollen. Im harmlosesten Fall soll es dabei zu Kryptomining gekommen sein. Dabei wird die Leistungsfähigkeit des Computers genutzt, um Kryptowährungen zu generieren. "Das ist zwar lästig, weil es die Rechnerleistung verlangsamt, fällt aber relativ schnell auf und kann auch entsprechend schnell behoben werden", sagt Lendl. Es gibt allerdings Gerüchte, dass bereits sogenannte Ransomware zum Einsatz gekommen sei. Mit dieser werden Daten auf dem Rechner verschlüsselt und nur gegen Bezahlung von Lösegeld wieder entschlüsselt.
Schläfer-Viren könntenerst in Monaten aktiv werden
Das wahre Ausmaß der Sicherheitspanne wird Experten zufolge erst in Wochen oder Monaten zu sehen sein. Noch dazu, weil eine weitere Gefahr droht: Dass bösartige Schläfer-Programme eingeschleust werden, die erst dann aktiv werden, wenn die Sicherheitslücke bereits geschlossen wurde. Um diese liefern einander derzeit Hacker und Sicherheitstechniker ein Wettrennen. Während Letztere versuchen, die Einfallstür zu schließen, versuchen Hacker, diese überall dort zu stürmen, wo sie noch offen ist. Die amerikanische IT-Sicherheitsbehörde Cisa bildete eine Arbeitsgruppe unter anderem mit der Bundespolizei FBI und dem Geheimdienst NSA. Auch das Cert, das mit den Kollegen in der EU in regem Austausch ist, läuft derzeit auf Hochtouren. Updates, die die Gefahr bannen sollen, werden am laufenden Band ausgeschickt.
Dabei wäre das Problem Lendl zufolge relativ einfach zu beheben: "Der Teil von ‚Log4j‘, der hier ausgenutzt wird, ist nicht produktionsrelevant. Man kann den einfach abdrehen. Entfernen ist leichter als korrigieren." Doch warum gibt es dieses Teil dann überhaupt? "Irgendwer wird das schon einmal gebraucht haben, und seither ist es eingeschaltet", sagt Lendl. "Das ist eines der Probleme: Je mehr wir bauen, je mehr wir vernetzen, umso mehr geht etwas schief." Irgendwann verliere man den Überblick über die Programme und Funktionen, über die man verfüge. Und genau diese Nachlässig- und Unaufmerksamkeit können dann Hacker ausnutzen.