Eine Schwerwiegende Schwachstelle in der Protokollierungsbibliothek "Log4j" der Programmiersprache Java hielt am Wochenende die IT-Welt in Atem. Nach Informationen des "Spiegel" sind auch mehrere Stellen in der Bundesverwaltung betroffen. "Bei einer Schwachstelle mit dieser Verbreitung ist auch die Bundesverwaltung betroffen", hieß es dem Bericht zufolge aus dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Behörde seien einzelne verwundbare Systeme bekannt und es seien bereits entsprechende Schutzmaßnahmen eingeleitet.
Bisher liegen demnach keinerlei Hinweise vor, dass die Schwachstelle in der Bundesverwaltung tatsächlich ausgenutzt worden sei. Zumindest in einigen Fällen sei das Problem nach Erkenntnissen des BSI bereits behoben worden.
Ausmaß der Bedrohungslage schwer feststellbar
Hintergrund: IT-Sicherheitsexperten schlagen Alarm wegen der Schwachstelle, die auf breiter Front Server im Netz bedroht. Das BSI setzte am Samstag seine Warnstufe zu der Sicherheitslücke von Orange auf Rot hoch.
Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es zur Begründung unter anderem. "Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar."
Die Schwachstelle steckt in einer vielbenutzten Bibliothek für die Java-Software. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen können. Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen. Die Schwachstelle ist auf einige Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.
Konsequenzen noch nicht abzuschätzen
"Aktuell ist noch nicht bekannt, in welchen Produkten diese Bibliothek eingesetzt wird, was dazu führt, dass zum jetzigen Zeitpunkt noch nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind", schränkte das BSI ein. "Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden", empfahl das Amt den Diensteanbietern.
Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten – zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert wird. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Das Problem fiel am Donnerstag auf Servern für das Online-Spiel "Minecraft" auf. Dem "Spiegel" zufolge waren zudem noch Dienste wie Amazons Cloud-Dienst AWS und Apples iCloud betroffen.
Apple gibt Einblicke: Das waren die Lieblings-Apps der Deutschen für 2021
Mit dem neuen Bußgeld-Katalog ist der Blitzer im Straßenverkehr noch teurer geworden. Die Warn-App "Blitzer.de Pro" war aber schon lange vorher der Bestseller im App Store. Wie schon in den letzten Jahren ist sie auch dieses Jahr die meistverkaufte App für das iPhone.
| Platz | App-Name | Preis in Euro |
| 1 | Blitzer.de PRO | 0,49 |
| 2 | Threema. Sicherer Messenger | 3,99 |
| 3 | Oje, ich wachse! | 3,99 |
| 4 | food with love | 3,99 |
| 5 | Forest - Bleib fokussiert | 1,99 |
| 6 | AutoSleep Schlaftracker | 4,99 |
| 7 | WeatherPro | 0,99 |
| 8 | GoodNotes 5 | 7,99 |
| 9 | TouchRetouch | 1,99 |
| 10 | ADAC Camping / Stellplatz 2021 | 8,99 |
Experten warnen vor Sicherheitslücke
IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten am Wochenende daran, die Schwachstelle zu stopfen. Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstbetreiber es installieren. Deshalb baute der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe blockieren soll. Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, betonte Cloudflare.
Die IT-Sicherheitsbranche sah einen Wettlauf mit Online-Kriminellen, die ihrerseits automatisiert nach anfälligen Servern suchen lassen. "Im Moment liegt die Priorität darauf, herauszufinden, wie weit verbreitet das Problem wirklich ist", sagte Rainer Trost von der IT-Sicherheitsfirma F-Secure. "Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden." Angreifer könnten jetzt mit Hilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost. "Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später."
