Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm. Wegen einer Schwachstelle in einer vielbenutzten Bibliothek für die Java.Software gebe es weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien.
Die Sicherheitslücke könnte dafür sorgen, dass Angreifer ihren Softwarecode auf den Servern ausführen und so ihre Schadprogramme dort laufen lassen könnten.
Das BSI empfiehlt: «Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden.»
Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert wird. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Das Problem fiel am Donnerstag auf Servern für das Online-Spiel «Minecraft» auf.
Inzwischen arbeiten IT-Sicherheitsfirmen und Java-Spezialisten daran, die Schwachstelle zu stopfen. Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstebetreiber es installieren. Deshalb baute der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe blockieren soll. Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, betonte Cloudflare.
«Im Moment liegt die Priorität darauf, herauszufinden, wie weit verbreitet das Problem wirklich ist», sagte Rainer Trost von der IT-Sicherheitsfirma F-Secure. «Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden.»
