Warnstufe erhöht Warnung vor Sicherheitslücke in Server-Software

IT-Sicherheitsexperten haben auf eine Schwachstelle hingewiesen, die Server im Netz bedroht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte die Warnstufe von Orange auf Rot hoch. Auch QR-Code-Scanner könnten gefährdet sein.

Ein Mann sitzt vor drei Bildschirmen mit Text.
BSI warnt vor einer Sicherheitslücke im Internet. Bildrechte: dpa

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Warnstufe von Orange auf Rot hochgesetzt. Hintergrund ist eine Schwachstelle, die auf breiter Front Server im Netz bedroht.

In der Begründung für den Schritt führt das BSI an, es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien. "Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar."

Betroffene Produkte noch unbekannt

Die Experten sehen die Schwachstelle in einer vielbenutzten Bibliothek für die Java-Software. Die Sicherheitslücke kann dafür sorgen, dass Angreifer ihren Softwarecode auf den Servern ausführen können. Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen.

Die Schwachstelle ist auf einige Versionen der Bibliothek "Log4j" beschränkt. Laut Experten hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden. Das BSI erklärte, "aktuell ist noch nicht bekannt, in welchen Produkten diese Bibliothek eingesetzt wird." Zum jetzigen Zeitpunkt könne noch nicht abgeschätzt werden, welche Produkte von der Schwachstelle betroffen seien.

Das BSI empfiehlt, die Updates von Herstellern umgehend zu installieren.

Update vorhanden

Log4j ist eine sogenannte Logging-Bibliothek. Sie soll diverse Ereignisse im Server-Betrieb für eine spätere Fehlerauswertung wie in einem Logbuch festhalten. Die Schwachstelle ist einfach auszunutzen.

Aufgefallen war das Problem am Donnerstag auf Servern für das Online-Spiel "Minecraft". IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten am Wochenende daran, die Schwachstelle zu stopfen.

Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstebetreiber es installieren.

Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten.

Quelle: dpa

Dieses Thema im Programm: MDR AKTUELL RADIO | 12. Dezember 2021 | 06:00 Uhr

Mehr aus Panorama

Elbe führt nur noch Niedrigwasser 1 min
Elbe bei Magdeburg Bildrechte: StraussTV
1 min 24.06.2022 | 16:44 Uhr

Die Elbe führt immer weniger Wasser. An der Magdeburger Strombrücke fiel der Pegel unter 65 Zentimeter. Die "Weiße Flotte" stellte ihren Betrieb ein. In Dresden sieht es ähnlich aus. Noch aber fahren dort die Dampfer.

Fr 24.06.2022 15:41Uhr 00:51 min

https://www.mdr.de/nachrichten/deutschland/panorama/video-hitze-duerre-elbe-niedrigwasser-100.html

Rechte: MITTELDEUTSCHER RUNDFUNK

Video
Mann hält Hagelkörner in Hand 1 min
Schweres Unwetter mit Hagel und Sturmböen in Oberbayern Bildrechte: NonstopNews

Mehr aus Deutschland

Nachrichten

Die Polizei Motorradstaffel gibt bei einem Pressebriefing Einblicke in die Lotsungen der Staatsgäste. 5 min
Bildrechte: dpa