Die gravierende IT-Schwachstelle „Log4Shell“ in der Software-Plattform Java kann nach Ansicht von Arne Schönbohm zu Millionenschäden durch Cyberangriffe führen. „Es drohen massive Angriffe durch Cyberkriminelle und dadurch enorme Schäden für die deutsche Wirtschaft“, so der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Unmittelbar nach Bekanntwerden der Sicherheitslücke in dem weit verbreiten Java-Werkzeug Log4j in der vergangenen Woche hatte das BSI die höchste Alarmstufe ausgerufen. Das ähnelt dem Vorgehen der Behörde bei der im Frühjahr 2021 entdeckten Schwachstelle in Microsofts Exchange-Software. Auch dort hatte das BSI wegen der Tragweite der Lücke nach kurzer Zeit bereits Alarmstufe „Rot“ erklärt.
Anfangs galten rund 65.000 Exchange-Server bundesweit als durch Hackerangriffe verletzlich. Selbst zwei Wochen nach Bekanntwerden ergaben Analysen des BSI noch immer Zehntausende ungeschützte, „mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infizierte“ Server in Deutschland. Sowohl die Schwere der Sicherheitslücke als auch die zögerliche Reaktion vieler Betroffener beim Einspielen von Updates löste 2021 deutschlandweit einen Höchststand von Erpressungsangriffen auf Unternehmen und Institutionen aus und verursachte zudem Schäden in Millionenhöhe.
Generalschlüssel für Hacker
Doch das könnte nur ein Vorgeschmack auf weit umfassendere Hacker-Attacken sein, die nun durch die Log4Shell-Lücke möglich werden. Dabei ist noch gar nicht absehbar, wie schwerwiegend die Folgen am Ende sein werden. Denn aktuell herrscht in der Szene weitgehend Rätselraten, wie viele Systeme tatsächlich betroffen sind.
Was die Lücke so brandgefährlich macht, ist der Umstand, dass das Programm in dem sie steckt zwar nur eine recht unspektakuläre Aufgabe erfüllt, gleichzeitig aber in unzähligen anderen Anwendungen integriert ist, die lokal in Unternehmen aber auch in Cloud-Rechenzentren laufen. Log4j ist damit wie ein Generalschlüssel zu Millionen von derzeit ungeschützten IT-Systemen weltweit.
BSI-Chef Schönbohm befürchtet daher, dass die Attacken nochmals umfangreicher und die Schadenssummen größer ausfallen könnten als bei der Exchange-Schwachstelle im Frühjahr. „Einerseits, weil sich die Lücke durch Hacker so leicht ausnutzen lässt und sie andererseits, weil sie in einer bisher völlig unüberschaubar großen Zahl von Programmen verborgen ist.“
Erste Analysen von IT-Sicherheitsforschern kurz nach Bekanntwerden der Schwachstelle hatten ergeben, dass IT-Systeme und Anwendungen von Hunderten großer Technologieunternehmen betroffen waren. Darunter sind immerhin Konzerne wie wie Amazon und Apple, Baidu, Google und LinkedIn, Twitter und Tesla, VMWare und Webex.
Zigtausende Attacken weltweit
Viele Hard- und Softwarehersteller haben mittlerweile zwar schon erste Sicherheitsupdates bereitgestellt. Doch dass damit schon alle Lücken geschlossen wären, glaubt in der IT-Szene niemand. Und es sorgt auch nur begrenzt für Entspannung, dass die ehrenamtlichen Programmierer von Log4j inzwischen eine neue, hackersichere Version ihrer Software veröffentlicht haben. „Die Situation ist zu komplex. Noch immer sind Unternehmen auf der Suche, in welchen Produkten die betroffene Java-Bibliothek überhaupt zum Einsatz kommt, um Updates einzuspielen“, sagt beispielsweise Achim Berg, der Präsident des IT-Verbandes Bitkom.
Das Ausmaß der Schäden werde sich daher „erst in den kommenden Wochen und Monaten zeigen“, prognostiziert Berg. Denn während auf Seiten der Anwender noch die Suche nach möglichen Lücken laufe, werden diese durch Cyberkriminelle bereits vehement attackiert. Sicherheitsforscher protokollieren weltweit zigtausendfach Versuche, die Schwachstellen in IT-Systemen mit Zugang zum Internet zu finden. Das BSI etwa meldet „welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen“. Dazu kommt, dass IT-Forensiker inzwischen gemeldet haben, dass Hacker die Schwachstelle bereits ausgenutzt haben, lange bevor Sicherheitsforscher am 9. Dezember erstmals öffentlich davor gewarnt hatten.
Achim Berg geht denn auch davon aus, dass Hacker längst in die IT-Systeme von Unternehmen, Behörden oder anderen Institutionen „Hintertüren für spätere Angriffe eingebaut haben und sich jetzt in Lauerstellung befinden.“ Der Bitkom-Präsident ist überzeugt: „Log4Shell wird uns auf jeden Fall bis weit ins neue Jahr hinein beschäftigen.“
Mehr zum Thema: Immer häufiger werden auch Landkreise und Kommunen werden Ziel von Cyberangriffen. Trotzdem weiß in den Verwaltungen kaum jemand, wie gut die Behörden gegen Hacker geschützt sind. Der Blindflug hat Methode.