Behörden nicht stark von Server-Schwachstelle betroffen
News
14.12.2021
Cybersicherheit
Bild: Haufe Online Redaktion
Nach dem Auftreten einer Sicherheitslücke sollten IT-Verantwortliche Zugangsmöglichkeiten für Kriminelle schnell schließen.
Nach drastischen Warnungen vor einer Schwachstelle in einer vielgenutzten Server-Software ist das Ausmaß der Bedrohung weiterhin unklar. Die deutsche IT-Sicherheitsbehörde BSI sah zunächst keine unmittelbaren Folgen für Verbraucher. «Handys und iPads sind davon bisher nicht betroffen, das muss man ganz klar sagen», sagte der BSI-Präsident Arne Schönbohm am 13.12.2021. Betroffen seien vielmehr Behörden und Unternehmen und «am Ende der Verbraucher, der diese Dienstleistungen nutzt».
Schnelle Updates empfohlen
Am Wochenende hatte das BSI wegen einer Sicherheitslücke in einer viel benutzten Bibliothek der Java-Software die Warnstufe Rot ausgerufen. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen Schadprogramme auf Servern von Diensteanbietern laufen lassen können. Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt. Schönbohm untermauerte die Dringlichkeit zum Handeln. Unternehmen und Behörden sollten so schnell wie möglich Updates durchführen.
Keine erfolgreichen Angriffe in Bundesbehörden
Aus Bundesbehörden oder Unternehmen, die zur kritischen Infrastruktur zählen, gebe es bisher keine Hinweise auf erfolgreiche Angriffe, sagte ein Sprecher des Bundesinnenministeriums. Die Fälle in der Bundesverwaltung, wo diese Schwachstelle vorliege, bewegten sich «im einstelligen Bereich». Auch in diesen Einzelfällen habe es keine erfolgreichen Angriffe gegeben.
Kriminelle seien sehr aktiv, sagte Schönbohm. «Wir sehen jetzt schon einen massenhaften Scan.» Es finde ein Wettrennen zwischen Angreifern und Verteidigern statt. «Es sind nicht die gezielten Angriffe, sondern es geht darum, flächendeckend dort hineinzukommen und das auszunutzen, so dass man dann drin ist und andere Hintertüren installieren kann, bevor diese Lücke geschlossen ist.»
Bestimmte Funktionalitäten sollten unterbunden werden
Diese Hintertüren könnten die Kriminellen dann noch lange ausnutzen. Neben den Updates empfahl er den Unternehmen und Behörden, bestimmte Funktionalitäten zu unterbinden, «wodurch die Angriffsmöglichkeit deutlich geringer ist».
Auf die Frage, wie viele Firmen denn betroffen seien, sagte Schönbohm: «Das kann man noch nicht sagen, wir sind in einer Phase der Aufbereitung.» Seine Behörde stehe im Kontakt mit IT-Sicherheitsbehörden anderer Staaten, etwa von den Niederlanden, Frankreich und auch der USA. Ob bald Entwarnung gegeben werden könne, hänge davon ab, wie schnell Unternehmen die Schwachstelle schließen.
Angreifer konnten teilweise Erpressungs-Trojaner installieren
Nach Erkenntnissen der IT-Sicherheitsfirma F-Secure gelang es Angreifern bereits zum Teil, Erpressungs-Trojaner und Software zum Erstellen von Kryptowährungen auf den Servern zu installieren. «Log4j könnte die kritischste Schwachstelle aller Zeiten sein. Insbesondere, da das Problem herstellerübergreifend besteht», sagte F-Secure-Experte Rüdiger Trost.
Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge auftaucht, zum Beispiel durch eine Nachricht. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Zugleich haben die Systeme großer Anbieter meist mehrschichtige Schutzmechanismen.
dpa
Schlagworte zum Thema:
IT-Sicherheit, Öffentliche Verwaltung
-
Personalakten im öffentlichen Dienst
2311
-
Teilzeitkrankschreibung – ein Gewinn für Arbeitnehmer und Arbeitgeber?
57
-
Faxgeräte in Behörden - Bann oder Beibehaltung?
54
-
Deutschland erhält ein digitales Bürgerkonto
47
-
Finanzverwaltung darf KI für Texte und Bilder nutzen
41
-
Schafft das Mitarbeitergespräch ab!
38
-
Öffentliche Verwaltung ohne Personal? 4 Wege aus der Krise!
34
-
165.000 Vollzeitkräfte könnten in der Verwaltung durch generative KI ersetzt werden
32
-
Studie: Bedarf und Wachstumspotenziale von KI in der Verwaltung noch größer als im Privatsektor
30
-
Wie Behörden erfolgreich kommunizieren
302
-
Erstes Digitalministerium in Deutschland: So viele Kompetenzen für die Digitalisierung wie nie zuvor
14.05.2025
-
Wie wird der öffentliche Dienst zum Berufswunsch junger Menschen?
14.05.2025
-
Bürokratieabbau – wie er wirklich funktionieren kann
08.05.2025
-
Erster Drohnenbetrieb für Laborproben in Baden-Württemberg gestartet
05.05.2025
-
Wie öffentliche Verwaltungen ihr Recruiting erfolgreich digitalisieren
28.04.2025
-
Deutschlands Bürgermeister urteilen: Immer noch zu wenig Dynamik bei der Digitalisierung
22.04.2025
-
Finanzverwaltung darf KI für Texte und Bilder nutzen
04.04.2025
-
Stadtverwaltung Lübeck: Personallücke durch Bots schließen
02.04.2025
-
Bekämpfung des Pflegenotstands durch KI
24.03.2025
-
Cyberattacken auf Kommunen: Bedrohung von IT-Strukturen der Behörden werden immer größer
20.03.2025
Bild: Haufe Online Redaktion
Aktuelle Informationen zum Thema Digitalisierung & Transformation im Öffentlichen Dienst frei Haus – abonnieren Sie unseren Newsletter:
- Digitalisierung
- Transformation
- Weiterbildung