Politik muss Verbraucher und Unternehmen schĂŒtzen
Die am Wochenende aufgedeckte Schwachstelle im Log4j-Programm ist ein Sicherheitsnotfall fĂŒr jede und jeden. GroĂe Firmen und private Nutzer von Apple, Google, Amazon und anderen Anwendungen stehen nun angreifbar da, weil eine weit verbreitete Komponente von Java-Software eine SicherheitslĂŒcke aufweist. Hans Wilhelm DĂŒnn, PrĂ€sident des Cybersicherheitsrat Deutschland e.V. dazu:
âStellen Sie sich vor, der standardmĂ€Ăig genutzte Mauerstein Ihres Hauses hĂ€lt nicht und bringt das ganze GebĂ€ude in Einsturzgefahr â gleichzeitig nutzen Kriminelle den Stein, um Ihnen die Scheibe einzuschlagen. Diese GefĂ€hrdungslage haben wir nun millionenfach bei der Log4j-Schwachstelle.â
Der Programmbaustein Log4j wurde im Open Source-Verfahren entwickelt und von zahlreichen Softwareherstellern ĂŒbernommen. Er dient dazu, die AktivitĂ€ten eines Programms zu protokollieren, um Probleme im Nachhinein lösen zu können. Die aufgetretene Schwachstelle ermöglicht es Eindringlingen, eigenen Programmcode ins Protokoll zu schreiben und auszufĂŒhren. Mögliche Ziele sind dabei die Nutzung fremder Computer zur Herstellung von KryptowĂ€hrungen, die VerschlĂŒsselung von Dateien zum Erpressen von Lösegeld oder eine vollstĂ€ndige Ăbernahme des Systems.
Da die SicherheitslĂŒcke von den Programmbetreibern geschlossen werden muss, sind Firmen und Verbraucher aktuell hilflos. Der Vorfall zeigt die AbhĂ€ngigkeit von Softwarekomponenten â sowohl bei einzelnen Personen als auch groĂen Konzernen. Hans-Wilhelm DĂŒnn empfiehlt in dieser Situation:
âInstallieren Sie unverzĂŒglich die Updates, die Ihnen angeboten werden. Sichern Sie alle relevanten Daten offline, um das Schadenspotenzial gering zu halten.â
Das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) hat inzwischen eine rote Warnmeldung ausgegeben und hĂ€lt die Schwachstelle fĂŒr die aktuell gröĂte Bedrohung im Cyberraum. Hans-Wilhelm DĂŒnn fordert:
âWir dĂŒrfen uns nicht blind darauf verlassen, was Softwareanbieter uns in ihre Programme schreiben. Unternehmen und Verbraucher haben nicht die Expertise, um sich vor den Fehlern anderer zu schĂŒtzen. Deshalb muss die Politik handeln und eine unabhĂ€ngige Zertifizierung von sicherheitsrelevanter Software ermöglichen. Sicherheit ist eine Staatsaufgabe â diesem Anspruch muss die Bundesregierung auch im digitalen Raum gerecht werden.â
Der Cyber-Sicherheitsrat Deutschland e.V. wurde im August 2012 von namhaften Persönlichkeiten gegrĂŒndet. Der in Berlin ansĂ€ssige Verein ist politisch neutral und berĂ€t Unternehmen, Behörden und politische EntscheidungstrĂ€ger im Bereich Cyber-Sicherheit. Zu den Mitgliedern des Vereins zĂ€hlen groĂe und mittelstĂ€ndische Unternehmen, Betreiber kritischer Infrastrukturen sowie BundeslĂ€nder und Bundesinstitutionen, Experten und politische Entscheider mit Bezug zum Thema Cyber-Sicherheit. Ăber seine Mitglieder reprĂ€sentiert der Verein mehr als drei Millionen Arbeitnehmer aus der Wirtschaft und knapp zwei Millionen Mitglieder aus VerbĂ€nden und Vereinen. Der Cyber-Sicherheitsrat Deutschland e.V. informiert und unterstĂŒtzt mit vielfĂ€ltigen Angeboten seine Mitglieder und richtet seine TĂ€tigkeiten an deren operativen und betrieblichen BedĂŒrfnissen aus.
V.i.S.d.P.: Hans-Wilhelm DĂŒnn, PrĂ€sident, Cyber-Sicherheitsrat Deutschland e.V.
Kontakt: Hannes Harthun, Leiter des PrĂ€sidialbĂŒros; Telefon: 030 / 6796 365 26
E-Mail:Â harthun@cybersicherheitsrat.de