Heidelberg. Stressige Tage für Administratoren und IT-Experten: Wegen einer Software-Lücke schieben sie Überstunden. Das im Dezember entdeckte Sicherheitsleck steckt in Hunderten von Programmen und Tausenden Servern von Betrieben, Behörden und Cloud-Anbietern.

„Internet in Flammen“, „Fukushima der Software“, „größte Schwachstelle des Jahrzehnts“: IT-Experten reagieren geschockt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab „Alarmstufe Rot“ aus, die höchste Gefahrenstufe. Denn das Leck ist weit verbreitet, „die Gefahrenstelle zudem trivial ausnutzbar“.

Software-Lücke ist wie ein Generalschlüssel zu Tausenden Servern

Was ist da los? Ein spezielles Software-Modul namens Log4j (die 4 steht für „for“) macht dicke Probleme. „Normalerweise erzeugt es auf einem Server wie ein Flugschreiber ein Protokoll, das Administratoren nutzen können, um Fehler zu erkennen und zu beheben“, erklärt Experte Carsten Emde von der Genossenschaft OSADL für freie Industrie-Software, der etwa 100 namhafte Unternehmen angehören.

Das Problem an Log4j: „Durch Ausfüllen eines Internet-Formulars können Hacker das Modul dazu bringen, einen anderen Server aufzurufen, fremde Software herunterzuladen und sie auszuführen – eine Horrorvorstellung!“, so Emde. Und weil Log4j in so vielen Programmen steckt, ist es wie ein Generalschlüssel.

86 Milliarden Euro direkter Schaden durch Cyberkriminalität im Jahr 2020

Die kriminellen Cyber-Attacken laufen auf Hochtouren. 3,7 Millionen Angriffsversuche weltweit registrierte in den ersten zehn Tagen die IT-Sicherheitsfirma Check Point. Amazon, Apple, Google, Twitter, Linkedin waren betroffen. Erpresser versuchen Verschlüsselungs-Software auf Server zu bringen.

Was tun? „Als Verbraucher muss man sich wegen seines Computers wohl keine Sorgen machen. Selbstverständlich sollte man ein Virenschutz-Programm installiert haben“, rät Emde. „Unternehmen, die mit Log4j ausgerüstete Server betreiben, sollten so schnell wie möglich die Updates installieren! Zudem können Administratoren Log4j notdürftig so konfigurieren, dass die gefährliche Abfrage verhindert wird“, erklärt der Experte. In jedem Fall kommt dann noch eine Herausforderung: Alle Systeme müssen auf Schadprogramme untersucht werden. „Das machen am besten Spezialisten."

In manchem Firmenserver tickt die Zeitbombe aus dem Netz also bereits, und irgendwann schlagen die Erpresser zu. Bereits von 2019 bis 2021 haben sich die Schäden für Betriebe durch Ausfall von Servern, Datendiebstahl und Erpressung auf 86 Milliarden Euro im Jahr vervierfacht, so der Branchenverband Bitkom. Das dürfte nun noch mal zunehmen.

Sicherheit bei Software-Entwicklung von Beginn an mitdenken

Übrigens: Das Problem von Log4j, betont Emde, „ist der unkritische Einsatz zu aufgeblähter Funktionen, und nicht, dass da Open-Source-Software genutzt wurde“. Das ist Software, die jeder uneingeschränkt nutzen kann wie etwa bei der Linux-Distribution. Ihr Vorteil: Der Programmiercode ist offen und jeder Programmierer kann ihn kontrollieren und verbessern.

„Fest aber steht“, sagt Sebastian Artz, Experte für Cybersicherheit bei Bitkom: „Wir müssen viel stärker auf die Sicherheit der Programme schauen.“ Sicherheit müsse von Beginn an bei der Entwicklung von Software mitgedacht werden und nicht erst im Nachgang. Damit es nicht noch mal solche Probleme gibt.

Hans Joachim Wolter
aktiv-Redakteur

Hans Joachim Wolter schreibt bei aktiv vor allem über Klimaschutz, Energiewende, Umwelt, Produktinnovationen sowie die Pharma- und Chemie-Industrie. Der studierte Apotheker und Journalist begann bei der Tageszeitung „Rheinpfalz“ in Ludwigshafen und wechselte dann zu einem Chemie-Fachmagazin in Frankfurt. Wenn er nicht im Internet nach Fakten gräbt, entspannt er bei Jazz-Musik, Fußballübertragungen oder in Kunstausstellungen.

Alle Beiträge des Autors