Zero-Day-Lücke 14.12.2021, 11:45 Uhr

Kritische Sicherheitslücke in Java-Bibliothek «Log4j»

Eine gefährliche Schwachstelle in einer Server-Software lässt die Alarmglocken bei IT-Experten läuten. Auch das Nationale Zentrum für Cybersicherheit warnt.
In der Java-Bibliothek Log4j klafft ein Loch, das bereits für Angriffe verwendet wird
(Quelle: HNewberry/Pixabay)
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Wochenende seine Warnstufe zu der Sicherheitslücke von Orange auf Rot hoch. Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hiess es zur Begründung. «Das Ausmass der Bedrohungslage ist aktuell nicht abschliessend feststellbar», warnte das Amt, das auch für die IT-Sicherheit der Bundesregierung verantwortlich ist.
Die Schwachstelle steckt in einer oft genutzten Bibliothek für die Java-Software. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen können. Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen. Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.

Auch Privatpersonen betroffen

Nach Angaben des Nationalen Zentrums für Cybersicherheit NCSC sind nicht nur Firmen gefährdet. Die Bibliothek «Log4j» ist auch in vielen Netzwerk- und Systemkomponenten zu finden, welche im Privatbereich verwendet werden. Deshalb sollte man seine Laptops, PCs, Tablets, Smartphones, Router oder Drucker regelmässig per Update auf dem neusten Stand halten. Dies, damit Sicherheits-Patches der Hersteller schnellstmöglich eingespielt werden können.

Wettlauf mit den Hackern

Unsichtbar für die Internet-Nutzer lief am Wochenende ein Wettlauf zwischen IT-Experten und Online-Kriminellen, die automatisiert nach anfälligen Servern suchen lassen. «Im Moment liegt die Priorität darauf, herauszufinden, wie weit verbreitet das Problem wirklich ist», sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. «Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden.»
Besonders heimtückisch: Angreifer könnten jetzt mit Hilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost. «Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später.»




Kommentare

Avatar
jpgjpg
19.12.2021
Seit langer Zeit ist Java als Gefahr für die Sicherheit bekannt. Auch dieser Artikel zeigt es wieder mal auf. Warum aber wird Java auf sehr vielen Websites immer noch benötigt ? So ist z.B. das Raiffeisen e-banking ohne Java nicht möglich. Warum nur ?

Avatar
Gaby Salvisberg
20.12.2021
Verwechselst du eventuell JavaScript mit Java? Die beiden haben miteinander nichts zu tun.