Hacker lauern auf die Weihnachtsruhe
/cloudfront-eu-central-1.images.arcpublishing.com/madsack/26MNAWZWDZGZHNK5GMDBALOQ5M.jpg)
Hacker in aller Welt suchen aktuell Schwachstellen in Computersystemen.
© Quelle: imago images / Michael Weber
/s3.amazonaws.com/arc-authors/madsack/0563e62a-6933-4b59-b05f-80b4f4550dc2.png)
Hannover.Für die IT-Expertinnen und -Experten in Unternehmen und Behörden werden die Feiertage alles andere als besinnlich. Seit vor gut einer Woche die Sicherheitslücke Log4Shell in einer weit verbreiteten Software bekannt wurde, liefern sich Hacker und Sicherheitsexperten in aller Welt ein Wettrennen. Und die vermeintlich ruhigen Tage erhöhen die Gefahr. „Feiertage wirken sich auf die Reaktionsfähigkeit aus“, sagt Joachim Wagner vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Das versuchten Hacker gerade zu nutzen. Systematische Angriffe seien bereits zu beobachten.
Es bleibt bei Warnstufe Rot
Seit dem 11. Dezember gilt beim BSI die höchste „Warnstufe Rot“ vor einer „extrem kritischen Bedrohung“, die potenziell Milliarden Computer weltweit treffen könne. Unter den vielen IT-Sicherheitsrisiken sticht dieses heraus, weil die Lücke sehr weit verbreitet ist. Es geht um ein unauffälliges kleines Programm namens Log4j, das in ungezählten Java-Anwendungen verschiedener Softwarehersteller steckt – um zum Beispiel Aktivitäten des Programms für die spätere Fehlersuche zu protokollieren.
/cloudfront-eu-central-1.images.arcpublishing.com/madsack/HJF7XR56HPT7OIT7UHM62F3U2I.jpg)
/cloudfront-eu-central-1.images.arcpublishing.com/madsack/SRUP6K6IANHVPENJQAQIZDACPA.jpeg)
/cloudfront-eu-central-1.images.arcpublishing.com/madsack/QRQANYEIKRCGTF5V7373OTWRIU.jpeg)
Die Sicherheitslücke, Log4Shell getauft, erlaubt es, das System praktisch von außen zu kapern. Hacker können fremde Rechner dann für Angriffe auf andere IT-Systeme instrumentalisieren, sie ferngesteuert Kryptowährungen schürfen lassen oder sie schlicht lahmlegen – und erst nach Zahlung eines Lösegelds wieder freigeben.
Die ersten Opfer melden sich
So ist die Webseite des Bundesfinanzhofs seit Tagen abgeschaltet. Der Hackerangriff sei abgewehrt worden, sagte ein Sprecher. Wer die Seite am Dienstag aufrief, las aber noch: „Aufgrund von Wartungsarbeiten am Server ist unsere Webseite bis auf Weiteres nicht erreichbar.“ Am vergangenen Wochenende musste das belgische Verteidigungsministerium Teile seines Netzes abschalten, und der Landtag von Schleswig-Holstein hat seine Seite „aufgrund einer kritischen Schwachstelle“ bis Weihnachten lahmgelegt.
Das sind nach Überzeugung von Achim Fischer-Erdsiek allerdings nur kleine Vorboten. „Der Big Bang wird im Januar oder Februar kommen“, sagt der IT-Experte vom Versicherungsmakler Nordwest Assekuranz in Hannover, der auch die Arbeitsgruppe IT-Sicherheit und Cyber Risk beim Bundesverband Deutscher Versicherungsmakler leitet. Für die Branche sind die zunehmenden Hackerangriffe ein zweischneidiges Schwert: Zwar wächst das Interesse der Unternehmen an Cyberpolicen, aber die Schäden wachsen schneller.
Hacker haben ein ausgefeiltes Geschäftsmodell
Hinter den Angriffen stecke ein ausgefeiltes mehrstufiges Geschäftsmodell, erklärt Fischer-Erdsiek. Weltweit gebe es rund 25 professionelle Hackergruppen, „die haben null Risiko“. Und sie teilen die Aufgaben: Ist eine Sicherheitslücke bekannt, scannen automatisierte Systeme zunächst weltweit Computer auf ihre Verwundbarkeit. Die gesammelten Angriffsziele werden dann nach Regionen und anderen Kriterien sortiert und in Paketen versteigert. Das geschehe gerade, sagt BSI-Sprecher Wagner: „Wir sehen im Moment die Access Broker“ – die Verkäufer der Zugänge.
Vielleicht feiern die Hacker erst mal ihren Erfolg in St. Moritz. Dann drücken sie auf Enter und verschlüsseln die Daten.
Achim Fischer-Erdsiek,
NW Assekuranz
Diese Zugänge werden von den Käufern genutzt, um die Daten in fremden Computersystemen zu analysieren und zu entscheiden, an welcher Stelle sich Diebstahl oder Blockade besonders lohnen. Ein dabei eingeschleustes Schadprogramm, ein sogenannter Verschlüsselungstrojaner, kann dann wochen- oder monatelang schlummern, bis es aktiviert wird.
„Vielleicht feiern die Hacker erst mal ihren Erfolg in St. Moritz“, sagt Fischer-Erdsiek. „Dann drücken sie auf Enter und verschlüsseln die Daten.“ Freigabe gegen Lösegeld. Gefährdete Unternehmen müssten deshalb klären, ob Zugänge zu ihren Systemen bereits im Darknet gehandelt werden – jenem Teil des Internet, der mit normalen Browserprogrammen nicht zugänglich ist.
Updates sind verfügbar
Zwar gibt es bereits mehrere Sicherheitsupdates, um Log4Shell zu beseitigen. Doch die Herausforderung besteht darin, alle bedrohten Bereiche im eigenen System zu finden. „Das Tool steckt in unfassbar vielen Anwendungen“, sagt Fischer-Erdsiek. Für viele Unternehmen sei da „ein ganz, ganz großer blinder Fleck“. Wenn im ersten Anlauf zehn bedrohte Anwendungen gefunden würden, bringe professionelle Suche oft 20 weitere zutage.
„Die aktuellen Hackerangriffe über Log4j verdeutlichen den Nachholbedarf aller Beteiligten für IT-Sicherheit“, sagt auch Michael Littger, Geschäftsführer der Initiative Deutschland sicher im Netz (DsiN). „Akut empfehlen wir allen Betrieben und Privatpersonen, sämtliche verfügbare Updates unmittelbar durchzuführen und auf ungewöhnliche Aktivitäten wie längere Rechnerzeiten zu achten.“
Das BSI sieht die größte Bedrohung aktuell für professionelle Anwender. Weil das Problem tief im System stecke, seien Privatanwender ohnehin auf den Schutz durch die Softwarehersteller angewiesen, sagt Wagner. Auch er mahnt deshalb dazu, verfügbare Softwareupdates sofort einzuspielen.