Gefährliche Schwachstelle im Standardprogramm betrifft uns alle

„Stellen Sie sich vor, der standardmäßig genutzte Mauerstein Ihres Hauses hält nicht und bringt das ganze Gebäude in Einsturzgefahr – gleichzeitig nutzen Kriminelle den Stein, um Ihnen die Scheibe einzuschlagen. Diese Gefährdungslage haben wir nun millionenfach bei der Log4j-Schwachstelle.“

Der Programmbaustein Log4j wurde im Open Source-Verfahren entwickelt und von zahlreichen Softwareherstellern übernommen. Er dient dazu die Aktivitäten eines Programms zu protokollieren, um Probleme im Nachhinein lösen zu können. Die aufgetretene Schwachstelle ermöglicht es Eindringlingen, eigenen Programmcode ins Protokoll zu schreiben und auszuführen. Mögliche Ziele sind dabei die Nutzung fremder Computer zur Herstellung von Kryptowährungen, die Verschlüsselung von Dateien zum Erpressen von Lösegeld oder eine vollständige Übernahme des Systems.

Da die Sicherheitslücke von den Programmbetreibern geschlossen werden muss, sind Firmen und Verbraucher aktuell hilflos. Der Vorfall zeigt die Abhängigkeit von Softwarekomponenten – sowohl bei einzelnen Personen als auch großen Konzernen. Hans-Wilhelm Dünn empfiehlt in dieser Situation:

„Installieren Sie unverzüglich die Updates, die Ihnen angeboten werden. Sichern Sie Ihre alle Ihren relevanten Daten offline, um das Schadenspotenzial gering zu halten.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen eine rote Warnmeldung ausgegeben und hält die Schwachstelle für die aktuell größte Bedrohung im Cyberraum.

„Wir dürfen uns nicht blind darauf verlassen, was Softwareanbieter uns in ihre Programme schreiben. Unternehmen und Verbraucher haben nicht die Expertise, um sich vor den Fehlern anderer zu schützen. Deshalb muss die Politik handeln und eine unabhängige Zertifizierung von sicherheitsrelevanter Software ermöglichen. Sicherheit ist eine Staatsaufgabe – diesem Anspruch muss die Bundesregierung auch im digitalen Raum gerecht werden.“