Symbolbild von Taylor Vick via Unsplash.

„Bitte Abwehrmaßnahmen schnellstmöglich umsetzen.“ – Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). „Ja, Leute, die Scheiße brennt lichterloh!“ – Manuel Atug, IT-Sicherheitsexperte. „Das Internet steht gerade in Flammen.“ – Adam Myers, Senior Vice-President of Intelligence beim IT-Sicherheitsunternehmen Crowdstrike.

Seit am Freitag eine kritische Schwachstelle im weit verbreiteten Log4j-Framework bekanntgeworden ist, überschlagen sich die Ereignisse. So warnte beispielsweise das BSI anfangs vor einer „unmittelbaren Erhöhung der IT-Bedrohungslage“, da die Schwachstelle „trivial ausnutzbar“ sei. Es dauerte nicht lange, bis das Bundesamt die Warnung auf Kategorie „3 / Orange“ („Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.“) und am Samstag schließlich auf die höchste Stufe „4 / Rot“ („Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrecht erhalten werden.“) hochstufte.

Als anfällig für die Sicherheitslücke wurden der Cloud- und Server-Dienst Amazon Web Services, Apples Onlinedienst iCloud oder auch der Kurznachrichtendienst Twitter bestätigt, um nur einige wenige der Unternehmen zu nennen. Ebenfalls betroffen sind unter anderem Steam und die Java-Version von Minecraft. Beim Letztgenannten wurde die Zero-Day-Lücke am vergangenen Donnerstag zuerst entdeckt – im Nachhinein wurde allerdings festgestellt, dass das Problem mindestens seit dem 1. Dezember ausgenutzt wurde: Anfangs noch mit kleineren Angriffsversuchen, bevor am Wochenende „Attacken auf breiter Front“ (Spiegel Online) begannen.

Das Log4j-Framework dient zum Protokollieren von Anwendungsmeldungen in der Programmiersprache Java. Durch die Ausgereiftheit und Konfigurierbarkeit ist Log4j nahezu zum Standard geworden, sowohl bei zahlreichen kommerziellen als auch Open-Source-Softwareprodukten. In einer Pressemitteilung vom 11. Dezember schreibt das Bundesamtes für Sicherheit in der Informationstechnik zur Schwere der Sicherheitslücke unter anderem:

Ursächlich für [die] Einschätzung [Warnstufe Rot, Anm. d. Red.] ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Die Schwachstelle ist zudem trivial ausnutzbar [...]. Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems. Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet. [...] Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. Es ist zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden.

Speziell für Minecraft wird von Microsoft inzwischen ein Update zur Verfügung gestellt, mit dem die Java-Ausgabe des Titels auf Version 1.18.1 aktualisiert wird. Zuvor bestand die große Gefahr auch darin, dass nur wenige, in den Chat eingegebene Zeichen ausreichten, um den Minecraft-Server vollständig zu übernehmen. Ein weiteres Beispiel ist für iPhones bekannt: Wurde dieses mit einer bestimmten Ziffernfolge umbenannt, bestand die Möglichkeit, in die iCloud einzudringen.

Weitere Informationen beziehungsweise tiefergehende Details könnt ihr in den Quellen nachlesen. So bietet unter anderem die BSI-Cyber-Sicherheitswarnung (PDF) einen detaillierten Überblick.