Die IT-Fachwelt ist in heller Aufregung. Und zwar wegen der Javabibliothek «Log4j». Dort wurde eine gefährliche Schwachstelle gefunden. Ein Einfallstor für Hacker.
Das deutsche Bundesamt für IT-Sicherheit (BSI) ist besorgt. «Die Schwachstelle ist sehr einfach ausnutzbar», sagte BSI-Präsident Arne Schönbohm am Montag bei einer Pressekonferenz. Zudem gebe es Hinweise, dass es sie schon sehr lange gebe. «Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems.» Nun müssten alle Produkte, die «Log4j» verwenden, angepasst werden, was noch eine Zeit lang dauern dürfte.
Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird, wie das Bundesamt ausführte. Es sei daher «oftmals tief in der Architektur von Software-Produkten verankert».
Bislang lägen dem BSI keine Meldungen über erfolgreiche Angriffe vor, doch das sei nur eine Frage der Zeit. «Es ist davon auszugehen, dass es auch in Deutschland zu erfolgreichen Angriffen gekommen ist und auch - wenn man sich nicht schützt - kommen wird», sagte Schönbohm. Er wies darauf hin, dass Hacker die Schwachstelle nutzen könnten, um Hintertüren einzubauen und erst Monate später zuzuschlagen.
Lufthansa rief Spezialtruppe zusammen
Firmen arbeiten mit Hochdruck am Stopfen des Lecks. Deutschlands grösste Reederei Hapag-Lloyd erklärte, das Cybersecurity-Team habe bereits reagiert und die IT-Systeme entsprechend angepasst. «Wir bleiben alarmiert und werden die aktuellen Entwicklungen selbstverständlich weiterhin sehr genau im Blick behalten.»
Die Lufthansa rief eine Spezialtruppe zusammen, die alle Systeme und Anwendungen überprüfen soll. Bei der Telekom hiess es, alle Kunden seien dazu aufgerufen worden, die relevanten Updates so schnell wie möglich zu installieren, um die potenzielle Angriffsfläche so gering wie möglich zu halten. Die Systeme des Konzerns würden im Laufe des Tages Tests unterzogen, so dass es zu Verzögerungen bei Anwendungen kommen könne.
144 Millionen neue Schadprogramm-Varianten festgestellt
Auch Infineon, die Deutsche Bank und Continental erklärten, bislang keine Angriffe registriert zu haben, aber wachsam bleiben zu wollen. E.ON setzt nach eigenen Angaben bereits seit Freitag diverse Massnahmen um, um das Risiko der IT-Schwachstellen zu minimieren.
Das BSI hatte bereits Anfang Dezember vor einer Bedrohung durch die Schadsoftware «Emotet» gewarnt und von einem «bedrohlichen Szenario» gesprochen. Problematisch könne die Situation vor allem in den Weihnachtsferien werden, wenn die IT-Abteilungen personell ausgedünnt seien und Firmen nicht schnell reagieren könnten. Vergangenes Jahr wurden dem BSI zufolge 144 Millionen neue Schadprogramm-Varianten festgestellt, ein Zuwachs von 22 Prozent im Vergleich zum Vorjahr. (SDA/AFP/jmh)