Es ist eine Lücke, wie sie selten vorkommen: Millionen von Servern, von kleinen Unternehmen bis zu den Internet-Giganten wie Apple, lassen sich theoretisch aus der Ferne übernehmen. Schuld ist ein Fehler in der kleinen Anwendung Log4J, die alle gleichermaßen als Baustein in ihren hochkomplexen Systemen benutzen. Mittlerweile gab es über eine Millionen Versuche, die Lücke auszunutzen. Doch das Rennen gegen die Zeit begann viel früher.
"Ich möchte einen Fehler melden", so begann die Mail, die eine Lawine ins Rollen bringen sollte. Doch der beim chinesischen Handelsriese Alibaba angestellte Absender hatte schon eine Ahnung, was da auf die Entwickler zukommen könnte. "Die Schwachstelle hat riesige Auswirkungen." Dann beschrieb er laut "Bloomberg", wie Angreifern über die Log4J-Lücke Vollzugriff auf die betroffenen Systeme bekommen könnten.
Rennen gegen die Zeit
Die Mail vom 24. November löste bei den Empfängern, der Software-Schmiede Apache-Foundation ein panisches Rennen gegen die Zeit aus. Wie alle Software der Vereinigung wird auch Log4J von Freiwilligen in ihrer Freizeit entwickelt und betreut. Das kleine Tool protokolliert eigentlich nur, was im Hintergrund von Anwendungen passiert, die auf der Entwicklungssprache Java basieren. Doch weil es eine der wenigen Lösungen dafür ist und komplett kostenlos genutzt werden kann, setzen Unmengen an anderen Programmen es in ihren Innereien ein. Und waren auf einen Schlag alle für Angriffe anfällig.
Die Entwickler machten sich also ans Werk. Sie ahnten zunächst nicht, wie ernst die Lage wirklich war. "Viele der Sicherheitsmeldungen sind nur scheinbar relevant", erklärt Gary Gregory, der die Software seit fast zehn Jahren mitbetreut gegenüber "Bloomberg". "Bei dieser dachten wir schnell: Oh Scheiße. Wir waren überrascht. Nicht, weil es ein Sicherheitsproblem gab. Sondern ob seines Ausmaßes", so der Entwickler, der in seinem Hauptjob eigentlich eine Softwareentwicklungs-Abteilung leitet. Gemeinsam mit seinen ebenfalls in ihrer Freizeit an Log4j arbeitenden Kollegen machte er sich ans Werk. Das Ziel: Die Lücke zu stopfen, bevor die Welt davon erfuhr.
Schnelle Eskalation
Doch gut zwei Wochen später eskalierte die Lage. In einer zweiten Mail warnte ihr Tippgeber am 8. Dezember, dass die Schwachstelle in chinesischen Chat-Gruppen herumging. "Manche Wechat-Sicherheits-Chatgruppen sprechen bereits über Details und einige Experten haben Zugang zu der Lücke", warnte er. "Wir versprechen, die Lücke geheim zu halten, bis ihr eine offizielle Lösung habt. Bitte beeilt euch."
Hauptsache k0mPliz1ert: Auf diese Passwort-Mythen fallen wir alle herein
Bei Hackern denkt man oft an staatliche Großangriffe. Dabei sind die meisten einfache Kriminelle. Auch Arno Wacker warnt: "Jedes Passwort ist von Interesse. Es geht nicht darum wie interessant jemand ist, sondern was ein Krimineller mit dem Passwort alles tun kann." Sei es, das Konto zu plündern, auf Kosten des Opfers zu shoppen oder schlicht Spam zu versenden. Im Zweifel werden die Daten einfach verkauft.
Was die Entwickler nicht ahnten: Zu diesem Zeitpunkt hatten die Attacken längst begonnen. Bereits Tage vorher hatte es erste Angriffe gegeben, die die Lücke auszunutzen versuchten, stellten die Experten von Cloudfare später fest. Die ersten gab es aktuellen Erkenntnissen zufolge bereits am 1. Dezember. Woher die Personen dahinter zu diesem Zeitpunkt schon von der Lücke wusste, ist bisher nicht bekannt.
Nur eben schnell die (Online-) Welt retten
Für Gregory und seine freiwilligen Teamkollegen begann eine stressige Zeit. Sie ließen alles stehen und liegen, um die Lücke so schnell wie möglich zu stopfen. "Sie haben alles aufs Abstellgleis gestellt und das ganze Wochenende daran gearbeitet", erinnert sich Apaches Vizechef Christian Grobmeier. "Ich kenne diese Leute, sie alle haben Familien und Dinge zu erledigen." Knapp 20 Stunden später wurde eine reparierte Software veröffentlicht - und zum ersten Mal öffentlich vor den Gefahren der alten Version gewarnt.
Doch danach ging es erst richtig los. Lassen sich in den ersten Stunden nach Bekanntwerden der Lücke noch wenige Tausend Angriffe nachweisen, ging diese Zahl in unfassbarem Ausmaß nach oben: Nur 72 Stunden später meldeten die Sicherheitsexperten von Checkpoint bereits 840.000 Attacken - Tendenz schnell steigend. Auch die Schadsoftware, die sich die Lücke zunutze macht, nimmt stetig zu. Waren es zu Beginn nur zwölf Programme, sind seitdem 60 weitere hinzugekommen. Dass die Angriffe trotz eines bereitstehenden Updates weitergehen, hat einen einfachen Grund: Die Software muss von jedem der Anbieter, der sie verwendet, selbst eingespielt werden. Das dürfte nach Einschätzung von Experten aber noch Wochen oder gar Monate dauern. Und bis dahin kann man es ja einfach weiter versuchen.
Die Freizeit-Entwickler hinter Log4J müssen sich indes unbequeme Fragen stellen lassen. So geht man mittlerweile davon aus, dass die Lücke bereits seit 2013 bestand. Und sogar 2016 bei einer Hacker-Konferenz thematisiert wurde, wie Nutzer bei Twitter hinwiesen. Die Entwickler scheinen das allerdings nicht mitbekommen zu haben. Vielleicht, weil sie eigentlich für andere Dinge bezahlt werden.
Quellen: Bloomberg, Cloudflare, Wall Street Journal, Check Point, Twitter
