Warnstufe rot: Wie die "Log4j-Lücke" Wirtschaft und Verwaltung bedroht

Es dürfte für viele IT-Sicherheitsexperten ein eher kurzes Wochenende gewesen sein: Denn die Sicherheitslücke in der Software-Bibliothek „Log4j“, die am Freitagnachmittag bekannt wurde, wird bereits mit kritischen Lücken wie Shellshock oder Heartbleed verglichen, von denen 2014 hunderte Millionen Systeme im Internet betroffen waren.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte die aktuelle Sicherheitswarnung in der Nacht von Samstag auf Sonntag auf die Warnstufe Rot heraufgestuft. Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es zur Begründung unter anderem. „Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar.“

Das galt auch am Montag noch. Unternehmen in ganz Deutschland sind wegen der Warnungen nun in Alarmbereitschaft. Mehrere von der Nachrichtenagentur Reuters befragte Firmen, darunter VW, die Lufthansa und die Deutsche Telekom, erklärten am Montag, ihre internen Sicherheitsvorkehrungen erhöht zu haben und die Lage genau zu beobachten. Bislang seien aber keine Angriffsversuche verzeichnet worden.

Spezialtruppen werden zusammengerufen

Deutschlands größte Reederei Hapag-Lloyd erklärte, das Cybersecurity-Team habe bereits reagiert und die IT-Systeme entsprechend angepasst. „Wir bleiben alarmiert und werden die aktuellen Entwicklungen selbstverständlich weiterhin sehr genau im Blick behalten.“ Die Lufthansa rief eine Spezialtruppe zusammen, die alle Systeme und Anwendungen überprüfen soll.

[Wenn Sie alle aktuellen Entwicklungen zur Coronavirus-Pandemie live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Bei der Telekom hieß es, alle Kunden seien dazu aufgerufen worden, die relevanten Updates so schnell wie möglich zu installieren, um die potenzielle Angriffsfläche so gering wie möglich zu halten. Die Systeme des Konzerns würden im Laufe des Tages Tests unterzogen, sodass es zu Verzögerungen bei Anwendungen kommen könne. Auch Infineon, die Deutsche Bank und Continental erklärten, bislang keine Angriffe registriert zu haben, aber wachsam bleiben zu wollen. E.on setzt nach eigenen Angaben seit Freitag diverse Maßnahmen um, um das Risiko der IT-Schwachstellen zu minimieren.

© Helmut Fohringer/APA/dpa

Die Sicherheitswarnung des BSI gilt konkret für die Java-Bibliothek Log4j. Dieses Software-Element sei weit verbreitet und habe Auswirkungen auf unzählige weitere Produkte. Zudem könne die Schwachstelle ohne Schwierigkeiten ausgenutzt werden. Damit könnten Angreifer das betroffene System vollständig übernehmen. Es gebe bereits Massen-Scans in Deutschland und auf der ganzen Welt sowie versuchte und erfolgreiche Angriffe.

Wie stark betroffen ist Berlin?

Das BSI hatte bereits Anfang Dezember vor einer Bedrohung durch die Schadsoftware „Emotet“ gewarnt und von einem „bedrohlichen Szenario“ gesprochen. Problematisch könne die Situation vor allem in den Weihnachtsferien werden, wenn die IT-Abteilungen personell ausgedünnt seien und Firmen nicht schnell reagieren könnten. Vergangenes Jahr wurden dem BSI zufolge 144 Millionen neue Schadprogramm-Varianten festgestellt, ein Zuwachs von 22 Prozent im Vergleich zum Vorjahr.

Ob auch IT-Systeme des Landes Berlin betroffen sind, wird noch geprüft. Dazu stehe man im Austausch mit den Herstellern, teilte das kommunale IT-Unternehmen ITDZ auf Anfrage mit. „Vorbeugend wurden die Sicherheitseinstellungen auf den Systemen des ITDZ Berlin erhöht“, hieß es weiter. „Für Systeme, die von der Sicherheitslücke betroffen sein sollten, werden unverzüglich Sicherheitspatches eingespielt, sobald diese vom Hersteller bereitgestellt sind.“

Die Berliner Interessensvertretung des TÜV, der TÜV-Verband e.V., teilte mit: „Es war richtig und wichtig, dass das BSI die Informationen über die Schwachstelle veröffentlicht hat. Informationen über Sicherheitslücken nach geregelten Prozessen zu teilen, stärkt die Informationssicherheit.“ Daher sollten möglichst alle Unternehmen, Behörden und Organisationen IT-Angriffe melden. (mit Reuters)