Gefährliche Schwachstelle im Standardprogramm betrifft uns alle
„Stellen Sie sich vor, der standardmäßig genutzte Mauerstein Ihres Hauses hält nicht und bringt das ganze Gebäude in Einsturzgefahr – gleichzeitig nutzen Kriminelle den Stein, um Ihnen die Scheibe einzuschlagen. Diese Gefährdungslage haben wir nun millionenfach bei der Log4j-Schwachstelle.“
Der Programmbaustein Log4j wurde im Open Source-Verfahren entwickelt und von zahlreichen Softwareherstellern übernommen. Er dient dazu die Aktivitäten eines Programms zu protokollieren, um Probleme im Nachhinein lösen zu können. Die aufgetretene Schwachstelle ermöglicht es Eindringlingen, eigenen Programmcode ins Protokoll zu schreiben und auszuführen. Mögliche Ziele sind dabei die Nutzung fremder Computer zur Herstellung von Kryptowährungen, die Verschlüsselung von Dateien zum Erpressen von Lösegeld oder eine vollständige Übernahme des Systems.
Da die Sicherheitslücke von den Programmbetreibern geschlossen werden muss, sind Firmen und Verbraucher aktuell hilflos. Der Vorfall zeigt die Abhängigkeit von Softwarekomponenten – sowohl bei einzelnen Personen als auch großen Konzernen. Hans-Wilhelm Dünn empfiehlt in dieser Situation:
„Installieren Sie unverzüglich die Updates, die Ihnen angeboten werden. Sichern Sie Ihre alle Ihren relevanten Daten offline, um das Schadenspotenzial gering zu halten.“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen eine rote Warnmeldung ausgegeben und hält die Schwachstelle für die aktuell größte Bedrohung im Cyberraum.
„Wir dürfen uns nicht blind darauf verlassen, was Softwareanbieter uns in ihre Programme schreiben. Unternehmen und Verbraucher haben nicht die Expertise, um sich vor den Fehlern anderer zu schützen. Deshalb muss die Politik handeln und eine unabhängige Zertifizierung von sicherheitsrelevanter Software ermöglichen. Sicherheit ist eine Staatsaufgabe – diesem Anspruch muss die Bundesregierung auch im digitalen Raum gerecht werden.“
Der Cyber-Sicherheitsrat Deutschland e.V. wurde im August 2012 von namhaften Persönlichkeiten gegründet. Der in Berlin ansässige Verein ist politisch neutral und berät Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit. Zu den Mitgliedern des Vereins zählen große und mittelständische Unternehmen, Betreiber kritischer Infrastrukturen sowie Bundesländer und Bundesinstitutionen, Experten und politische Entscheider mit Bezug zum Thema Cyber-Sicherheit. Über seine Mitglieder repräsentiert der Verein mehr als drei Millionen Arbeitnehmer aus der Wirtschaft und knapp zwei Millionen Mitglieder aus Verbänden und Vereinen. Der Cyber-Sicherheitsrat Deutschland e.V. informiert und unterstützt mit vielfältigen Angeboten seine Mitglieder und richtet seine Tätigkeiten an deren operativen und betrieblichen Bedürfnissen aus.
Cyber-Sicherheitsrat Deutschland e.V.
Spichernstraße 2
10777 Berlin
Telefon: +49 (30) 6796365-28
Telefax: +49 (30) 6796365-29
https://cybersicherheitsrat.de/
Leiter des Präsidialbüros
Telefon: +49 (30) 6796365-26
E-Mail: harthun@cybersicherheitsrat.de