Gefährliche Schwachstelle im Standardprogramm betrifft uns alle

Politik muss Verbraucher und Unternehmen schützen

Die am Wochenende aufgedeckte Schwachstelle im Log4j-Programm ist ein Sicherheitsnotfall für jede und jeden. Große Firmen und private Nutzer von Apple, Google, Amazon und anderen Anwendungen stehen nun angreifbar da, weil eine weit verbreitete Komponente von Java-Software eine Sicherheitslücke aufweist. Hans Wilhelm Dünn, Präsident des Cybersicherheitsrat Deutschland e.V. dazu:

„Stellen Sie sich vor, der standardmäßig genutzte Mauerstein Ihres Hauses hält nicht und bringt das ganze Gebäude in Einsturzgefahr – gleichzeitig nutzen Kriminelle den Stein, um Ihnen die Scheibe einzuschlagen. Diese Gefährdungslage haben wir nun millionenfach bei der Log4j-Schwachstelle.“

Der Programmbaustein Log4j wurde im Open Source-Verfahren entwickelt und von zahlreichen Softwareherstellern übernommen. Er dient dazu, die Aktivitäten eines Programms zu protokollieren, um Probleme im Nachhinein lösen zu können. Die aufgetretene Schwachstelle ermöglicht es Eindringlingen, eigenen Programmcode ins Protokoll zu schreiben und auszuführen. Mögliche Ziele sind dabei die Nutzung fremder Computer zur Herstellung von Kryptowährungen, die Verschlüsselung von Dateien zum Erpressen von Lösegeld oder eine vollständige Übernahme des Systems.

Da die Sicherheitslücke von den Programmbetreibern geschlossen werden muss, sind Firmen und Verbraucher aktuell hilflos. Der Vorfall zeigt die Abhängigkeit von Softwarekomponenten – sowohl bei einzelnen Personen als auch großen Konzernen. Hans-Wilhelm Dünn empfiehlt in dieser Situation:

„Installieren Sie unverzüglich die Updates, die Ihnen angeboten werden. Sichern Sie alle relevanten Daten offline, um das Schadenspotenzial gering zu halten.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen eine rote Warnmeldung ausgegeben und hält die Schwachstelle für die aktuell größte Bedrohung im Cyberraum. Hans-Wilhelm Dünn fordert:

„Wir dürfen uns nicht blind darauf verlassen, was Softwareanbieter uns in ihre Programme schreiben. Unternehmen und Verbraucher haben nicht die Expertise, um sich vor den Fehlern anderer zu schützen. Deshalb muss die Politik handeln und eine unabhängige Zertifizierung von sicherheitsrelevanter Software ermöglichen. Sicherheit ist eine Staatsaufgabe – diesem Anspruch muss die Bundesregierung auch im digitalen Raum gerecht werden.“

Der Cyber-Sicherheitsrat Deutschland e.V. wurde im August 2012 von namhaften Persönlichkeiten gegründet. Der in Berlin ansässige Verein ist politisch neutral und berät Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit. Zu den Mitgliedern des Vereins zählen große und mittelständische Unternehmen, Betreiber kritischer Infrastrukturen sowie Bundesländer und Bundesinstitutionen, Experten und politische Entscheider mit Bezug zum Thema Cyber-Sicherheit. Über seine Mitglieder repräsentiert der Verein mehr als drei Millionen Arbeitnehmer aus der Wirtschaft und knapp zwei Millionen Mitglieder aus Verbänden und Vereinen. Der Cyber-Sicherheitsrat Deutschland e.V. informiert und unterstützt mit vielfältigen Angeboten seine Mitglieder und richtet seine Tätigkeiten an deren operativen und betrieblichen Bedürfnissen aus.

V.i.S.d.P.: Hans-Wilhelm Dünn, Präsident, Cyber-Sicherheitsrat Deutschland e.V.

Kontakt: Hannes Harthun, Leiter des Präsidialbüros; Telefon: 030 / 6796 365 26
E-Mail: harthun@cybersicherheitsrat.de

Datenschutz
Wenn Sie unsere Website besuchen, werden möglicherweise Informationen über Ihren Browser von bestimmten Diensten gespeichert, in der Regel in Form von Cookies. Weitere Informationen finden Sie in unserer Datenschutzerklärung.