Gefahr durch Software-Schwachstelle
12. Dezember 2021Eine Schwachstelle in einem auf vielen Computern verbreiteten Software-Modul führt nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu einer "extrem kritischen Bedrohungslage". Die Behörde erhöhte deswegen ihre bestehende Cyber-Sicherheitswarnung für die Java-Bibliothek "Log4j" auf die Warnstufe Rot. Es handelt sich dabei um die höchste Kategorie der vierstufigen BSI-Skala für Cyber-Sicherheitswarnungen.
Auswirkung auf breiter Front
Die Einschätzung beruhe auf der sehr weiten Verbreitung dieses Software-Elements und den damit verbundenen Auswirkungen auf unzählige weitere Produkte, teilte das Bundesamt mit Hauptsitz in Bonn mit. Zudem könne die Schwachstelle ohne größere Schwierigkeiten ausgenutzt werden. Mit ihr könnten Angreifer das betroffene System vollständig übernehmen.
Es gebe bereits weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, berichtete das BSI. Zwar existiere schon ein Sicherheitsupdate für "Log4j". Jedoch müssten auch alle Produkte angepasst werden, die das Modul verwenden.
Updates schnell installieren!
"Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden", empfahl das Amt betroffenen Diensteanbietern. IT-Sicherheitsfirmen und Java-Spezialisten arbeiten daran, die Schwachstelle zu stopfen. So baute der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Attacken blockieren soll.
Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und "Log4j" benutzen, wie auch Cloudflare betonte.
BSI-Präsident Arne Schönbohm und der kürzlich aus dem Amt geschiedene Bundesinnenminister Horst Seehofer hatten zuletzt von einer zunehmenden Gefährdung durch Cyberangriffe gewarnt. Im vergangenen Jahr wurden laut BSI 144 Millionen neue Schadprogramm-Varianten festgestellt, was einen Zuwachs von 22 Prozent im Vergleich zum Vorjahr bedeutete.
wa/ack (rtr, dpa)