BSI zu Log4j: Verbraucher noch nicht betroffen

Nach drastischen Warnungen vor einer Schwachstelle in einer vielgenutzten Server-Software ist das Ausmaß der Bedrohung weiterhin unklar. Die deutsche IT-Sicherheitsbehörde BSI sah zunächst keine unmittelbaren Folgen für Verbraucher.

„Handys und iPads sind davon bisher nicht betroffen, das muss man ganz klar sagen“, sagte der BSI-Präsident Arne Schönbohm am Montag in Bonn. Betroffen seien vielmehr Behörden und Unternehmen und „am Ende der Verbraucher, der diese Dienstleistungen nutzt“.

Am Wochenende hatte das BSI wegen einer Sicherheitslücke in einer viel benutzten Bibliothek der Java-Software die Warnstufe Rot ausgerufen. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen Schadprogramme auf Servern von Diensteanbietern laufen lassen können. Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt. Schönbohm untermauerte am Montag die Dringlichkeit zum Handeln. Unternehmen und Behörden sollten so schnell wie möglich Updates durchführen.

Aus Bundesbehörden oder Unternehmen, die zur kritischen Infrastruktur zählen, gebe es bisher keine Hinweise auf erfolgreiche Angriffe, sagte ein Sprecher des Bundesinnenministeriums. Die Fälle in der Bundesverwaltung, wo diese Schwachstelle vorliege, bewegten sich „im einstelligen Bereich“. Auch in diesen Einzelfällen habe es keine erfolgreichen Angriffe gegeben.

Kriminelle seien sehr aktiv, sagte Schönbohm. „Wir sehen jetzt schon einen massenhaften Scan.“ Es finde ein Wettrennen zwischen Angreifern und Verteidigern statt. „Es sind nicht die gezielten Angriffe, sondern es geht darum, flächendeckend dort hineinzukommen und das auszunutzen, sodass man dann drin ist und andere Hintertüren installieren kann, bevor diese Lücke geschlossen ist.“

Diese Hintertüren könnten die Kriminellen dann noch lange ausnutzen. Neben den Updates empfahl er den Unternehmen und Behörden, bestimmte Funktionalitäten zu unterbinden, „wodurch die Angriffsmöglichkeit deutlich geringer ist“.