1. Startseite
  2. Wirtschaft

IT-Sicherheits-Chef: Riesige Welle von Hackerattacken droht zu Weihnachten - „werden die Kriminellen ausnutzen“

Erstellt:

Von: Matthias Schneider

Kommentare

Die Sicherheitslücke in der log4j-Datei könnte über Weihnachten eine riesige Welle von Hackerattacken provozieren. So können Privatnutzer und Unternehmen sich jetzt schützen.

München - Eine Sicherheitslücke bedroht Millionen Nutzer. Niklas Keller, IT-Sicherheitschef für Deutschland, Österreich und die Schweiz beim IT-Systemanbieter Bechtle, erklärt gegenüber IPPEN.MEDIA, wie sich Nutzer vor den Auswirkungen der sogenannten Log4j-Lücke schützen können.

Niklas Keller, Bechtle Cyber-Security-Chef für Deutschland, Österreich und die Schweiz
Niklas Keller, Bechtle Cyber-Security-Chef für Deutschland, Österreich und die Schweiz © Bechtle AG

Die Log4j-Sicherheitslücke hat weltweit für Aufsehen gesorgt. Inzwischen ist es ruhiger geworden. Hat sich das Thema erledigt?

Im Gegenteil, wir gehen davon aus, dass Hacker gerade Schläferprogramme platzieren, um an den Feiertagen richtig loszuschlagen. Davon dürften die Computerprogramme jedes zweiten bis dritten Herstellers betroffen sein. Beispielsweise musste das belgische Verteidigungsministerium Teile seines Netzwerks runterfahren. Grundsätzlich sind vor allem Unternehmen das Ziel strategischer Angriffe. Es können aber auch Privatnutzer betroffen sein. Das Bundesamt für Sicherheit in der Informationstechnik hat zu Recht die „Alarmstufe Rot“ ausgerufen. Das war zuletzt bei der Microsoft-Exchange-Lücke im Frühjahr der Fall.

Wie konnte es so weit kommen?

Log4j ist eine Open-Source-Datei mit einer Protokollierungsfunktion, die sehr weit verbreitet ist. Durch ihre Konstruktion ist sie aber ungewollter Weise anfällig für die sogenannte Remote Code Execution. Das heißt, dass man eine bestimmte Zeichenfolge an eine Applikation oder Webseite schickt, die die Log4j-Datei verwendet. Statt diese Zeichenfolge als normalen Protokolleintrag zu verbuchen, wird sie als Code ausgeführt. Das öffnet Hackern eine Tür, durch die sie in das Programm eindringen können. Unbemerkt besteht die Sicherheitslücke seit 2013.

Wie kann diese Lücke ausgenutzt werden?

Primär sind Systeme gefährdet, die über das Internet erreichbar sind. Aber auch Systeme hinter einer Firewall, die die Log4j Bibliothek verwenden, können verwundbar sein, wenn der Angreifer bereits im Netzwerk ist. Hacker suchen mit automatisierten Programmen nach Systemen, die diese Schwachstelle aufweisen. Durch das Senden der bestimmten Zeichenfolge an das betroffene System wird die Schwachstelle ausgenutzt und es wird unerwünschte Schadsoftware installiert.

Was kann passieren?

Bisher haben wir vor allem Angriffe von Kryptominern festgestellt. Sie zapfen die Rechenleistung von Systemen an, um Kryptowährungen wie Bitcoin zu errechnen. Weit gefährlicher ist aber die Vorbereitung von weiteren Angriffen. Viele Kriminelle nutzen die Schwachstelle aktuell, um Schläferprogramme, wie sogenannte Bots, in den angegriffenen Systemen zu platzieren.

Was können diese Programme?

Sie können beispielsweise Informationen stehlen oder das System für eine DDoS-Attacke kapern. Dafür werden tausende Rechner übernommen, die unentwegt versuchen, auf einen Online-Dienst, beispielsweise eine Website zuzugreifen. Diese wird dann wegen Überlastung blockiert.

Was kann noch geschehen?

Gefährlicher sind gezielte Hackerangriffe auf das System selbst. Das können zum einen Ransomware-Attacken sein. Dabei werden die Systeme der Betroffenen verschlüsselt und erst gegen Lösegeld wieder brauchbar gemacht. Zeitgleich wird meist mit der Veröffentlichung der gestohlenen Daten im Darknet gedroht. Ein weiteres Szenario ist die Verbreitung von sogenannten Cobalt-Strike Beacons. Dabei können Hacker das komplette System fernsteuern. Die ersten Angriffe dieser Arbeit haben wir im Zusammenhang mit der log4j-Lücke schon beobachtet.

Wie kann man sich schützen?

Ein Virenscanner nutzt hier leider nichts. Die Hersteller arbeiten aber mit Hochdruck daran, die Lücken zu schließen. Das nützt Anwendern aber nur, wenn sie umgehend die verfügbaren Softwareupdates installieren. Zusätzlich sollte darauf geachtet werden, ob es zu ungewöhnlichen Aktivitäten kommt. Kommerzielle Nutzer müssen jetzt außerdem prüfen, wo in ihrer Softwarearchitektur die Sicherheitslücken existieren, wie man sie schließen kann und ob die Angreifer schon im System sind. Das ist ja auch die Aufgabe eines IT-Dienstleisters: Schwachstellen identifizieren, beheben und - im schlimmsten Fall - Attacken abwehren und forensisch untersuchen, wie weit die Angreifer gekommen sind. Dafür gehen wir seit dem Bekanntwerden der Schwachstelle auch aktiv auf unsere Kunden zu. Sollte es jedoch eine Sicherheitslücke geben, die man nicht sofort schließen kann, muss man erwägen, das System vom Netz zu nehmen, weil das Risiko eines Angriffs aktuell sehr hoch ist.

Aber gerade jetzt gehen auch viele IT-Experten in den Weihnachtsurlaub.

Und das werden die Kriminellen ausnutzen. Die Attacken werden bevorzugt gestartet, wenn niemand in der Firma ist, um ihr Handeln zu entdecken. Wir erwarten, dass viele Angreifer aktuell warten, bis sich der erste Rauch verzogen hat, um loszuschlagen. Das kann bei Firmen, die die Lücken nicht rechtzeitig beheben, zu hohen finanziellen Schäden und im Zweifel auch zu einer existenziellen Bedrohung führen.

Wie kann man sich langfristig schützen?

Man kann nicht einfach eine Technologie kaufen und sich zurücklehnen. Jede Woche werden hunderte Schwachstellen bekannt. Deshalb braucht man immer einen Krisenplan: Wie finde ich heraus, welche Lücken mich betreffen? Wer ist sofort zur Stelle, wenn es einen Angriff gibt? Was kostet es mich, mein System vom Netz zu nehmen? Wie stelle ich es schnell wieder her? So einen Notfallplan brauchen sowohl Selbstständige als auch große Unternehmen. Lesen Sie hier mehr darüber, was die Wirtschaft bewegt.

Auch interessant

Kommentare