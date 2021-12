Alarmstufe Rot, Kommentar zur Sicherheitslücke Log4j von Heidi Rohde Frankfurt (ots) - Rund eineinhalb Jahre nach der spektakulären Attacke auf den US-IT-Dienstleister Kaseya, bei der sich die Schadsoftware wie ein Lauffeuer im Netz verbreitete, droht angesichts einer Schwachstelle bei einem global eingesetzten Software-Tool ein Desaster von weitaus größerer Dimension. Der Befund amerikanischer Sicherheitsexperten, das Internet sei in Gefahr, erscheint einigermaßen monströs. Jedoch erahnt auch der Laie das Ausmaß des Schadens, wenn zu hören ist, dass unter anderem die Server von Amazon Web Services (AWS) und Apples iCloud betroffen waren, zwei der größten und sicherheitstechnisch am weitesten hochgerüsteten Cloud-Architekturen der Welt.

Die Open-Source-Software Log4j, die für die Erfassung, Bewertung und Dokumentation von Fehlerereignissen auf Computern eingesetzt wird, hat sich als globale Standardanwendung etabliert. Dies hat den Vorteil, dass für diesen Zweck nicht wiederholt von allen das Rad neu erfunden werden muss. Nachteil ist aber die globale Reichweite, die bei einem Angriff, der die Schwachstelle der Software ausnutzt, erzielt werden kann.

Das Dilemma von Log4j gilt ebenso für jede andere verbreitete Standardsoftware, die millionenfach eingesetzt wird. Es führt tendenziell zu einem Wettlauf in der Dunkelheit. IT-Sicherheitsexperten, die eine gravierende Bedrohung entdecken, die alle roten Lampen angehen lässt, sind gehalten, diese zunächst nicht öffentlich zu machen und stattdessen nur betroffene Unternehmen und Behörden zu informieren. Damit besteht die Chance, das Problem in den Griff zu kriegen, bevor Cyberkriminelle zuschlagen können und in ihrer eigenen "Bereichsöffentlichkeit" gleichsam zum Großangriff blasen. Überdies können Unternehmen, bei denen bereits ein Schaden eingetreten ist, zumindest versuchen, diesen möglichst geräuschlos zu beheben und damit auch einen Reputationsschaden abzuwenden.

Nach dieser bewährten Methode wurde auch bei Log4j verfahren. Allerdings ist der zeitliche Vorsprung der Cyberabwehr vor der Angriffswelle erfahrungsgemäß gering. Und die Verdunklungstaktik hat auch eine Kehrseite: Sie verkürzt die Vorwarnzeit für den Rest der Welt. Das ist vor allem deshalb kritisch, weil Software-Updates, die eine Sicherheitslücke schließen, oft schnell verfügbar sind, aber nur langsam implementiert werden. Die zunehmende Komplexität von Unternehmens-IT-Systemen und Cloud-Anbindung kostet dabei wertvolle Zeit. Guter Rat ist hier im buchstäblichen Sinne teuer: Bei Investitionen in Cybersecurity muss deutlich aufgerüstet werden.

