Weiter mit Tracking durch Dritte

Besuchen Sie unsere Website mit externen Inhalten, personalisierter Werbung und Werbetracking durch Dritte. Details und Informationen zu Cookies, Verarbeitungszwecken sowie Ihrer jederzeitigen Widerrufsmöglichkeit finden Sie in der Datenschutzerklärung und in den Privatsphäre-Einstellungen.

Weiter mit dem PUR-Abo

Nutzen Sie unser Angebot ohne Werbetracking durch Dritte für 4,99 Euro/Monat. Kunden mit einem bestehenden Abo (Tageszeitung, e-Paper oder PLUS) zahlen nur 0,99 Euro/Monat. Informationen zur Datenverarbeitung im Rahmen des PUR-Abos finden Sie in der Datenschutzerklärung.

Zum Angebot Bereits PUR-Abonnent? Hier anmelden

Einwilligung: Durch das Klicken des "Akzeptieren und weiter"-Buttons stimmen Sie der Verarbeitung der auf Ihrem Gerät bzw. Ihrer Endeinrichtung gespeicherten Daten wie z.B. persönlichen Identifikatoren oder IP-Adressen für die beschriebenen Verarbeitungszwecke gem. § 25 Abs. 1 TTDSG sowie Art. 6 Abs. 1 lit. a DSGVO durch uns und unsere bis zu 220 Partner zu. Darüber hinaus nehmen Sie Kenntnis davon, dass mit ihrer Einwilligung ihre Daten auch in Staaten außerhalb der EU mit einem niedrigeren Datenschutz-Niveau verarbeitet werden können.

Tracking durch Dritte: Zur Finanzierung unseres journalistischen Angebots spielen wir Ihnen Werbung aus, die von Drittanbietern kommt. Zu diesem Zweck setzen diese Dienste Tracking-Technologien ein. Hierbei werden auf Ihrem Gerät Cookies gespeichert und ausgelesen oder Informationen wie die Gerätekennung abgerufen, um Anzeigen und Inhalte über verschiedene Websites hinweg basierend auf einem Profil und der Nutzungshistorie personalisiert auszuspielen.

Externe Inhalte: Zur Ergänzung unserer redaktionellen Texte, nutzen wir in unseren Angeboten externe Inhalte und Dienste Dritter („Embeds“) wie interaktive Grafiken, Videos oder Podcasts. Die Anbieter, von denen wir diese externen Inhalten und Dienste beziehen, können ggf. Informationen auf Ihrem Gerät speichern oder abrufen und Ihre personenbezogenen Daten erheben und verarbeiten.

Verarbeitungszwecke: Personalisierte Werbung mit Profilbildung, externe Inhalte anzeigen, Optimierung des Angebots (Nutzungsanalyse, Marktforschung, A/B-Testing, Inhaltsempfehlungen), technisch erforderliche Cookies oder vergleichbare Technologien. Die Verarbeitungszwecke für unsere Partner sind insbesondere:
Informationen auf einem Gerät speichern und/oder abrufen

Für die Ihnen angezeigten Verarbeitungszwecke können Cookies, Gerätekennungen oder andere Informationen auf Ihrem Gerät gespeichert oder abgerufen werden.

Personalisierte Anzeigen und Inhalte, Anzeigen und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen

Anzeigen und Inhalte können basierend auf einem Profil personalisiert werden. Es können mehr Daten hinzugefügt werden, um Anzeigen und Inhalte besser zu personalisieren. Die Performance von Anzeigen und Inhalten kann gemessen werden. Erkenntnisse über Zielgruppen, die die Anzeigen und Inhalte betrachtet haben, können abgeleitet werden. Daten können verwendet werden, um Benutzerfreundlichkeit, Systeme und Software aufzubauen oder zu verbessern.

  1. Startseite
  2. Panorama
  3. Datenschutz: Sicherheitslücke in Server-Software: Das können User jetzt tun

Datenschutz
13.12.2021

Sicherheitslücke in Server-Software: Das können User jetzt tun

Online-Kriminelle haben mit dem Sicherheitsleck in Log4j leichtes Spiel. Auch wenn das Problem behoben ist, könnte die Lücke noch lange ausgenutzt werden.
Foto: Nicolas Armer, dpa

Eine Sicherheitslücke in einer weit verbreiteten Software ist zum Einfallstor für Schadsoftware geworden. Das Problem ist behoben, könnte aber Nachwirkungen haben.

Weitestgehend unbemerkt von vielen Internetnutzerinnen und -nutzern hat sich online am Wochenende eine große Krise entfaltet. Eine "extrem kritische Bedrohungslage" liegt seit Samstag laut einer Mitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor. Denn über eine leicht ausnutzbare Sicherheitslücke in einer viel benutzten Server-Software könnten Online-Kriminelle jetzt und in Zukunft Nutzerdaten stehlen und Unternehmen erpressen. Eine vollständige Liste der Dienstleister gibt es noch nicht. Unternehmen wie Google und Apple sind aber offenbar ebenso betroffen wie Huawei und Amazon.

Die Sicherheitslücke ist mittlerweile geschlossen, die Nachwirkungen könnten aber noch lange Probleme bereiten – auch für Userinnen und User. Was diese jetzt tun können.

Was ist das Problem?

Die Schwachstelle steckt in der oft genutzten Bibliothek Log4j für die Java-Software. Diese Bibliothek hält Ereignisse im Server-Betrieb fest wie in einem Logbuch, zum Beispiel für eine spätere Auswertung von Fehlern. Unternehmen, offenbar auch so große wie Google, Huawei und Apple, bauen diese Bibliothek in ihre Produkte ein, um diese Anwendung nicht erst selbst erstellen zu müssen. Doch dadurch übernehmen sie Fehler wie den, der nun zur Gefahr wird.

Die Sicherheitslücke kann dafür sorgen, dass Online-Kriminelle ihren Softwarecode auf den Servern ausführen und Angriffe starten können. Das könnte dann auch Nutzerinnen und -nutzer betreffen, wenn zum Beispiel Nutzerdaten ausgelesen oder Daten verschlüsselt werden.

Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge auftaucht. Wie auf Twitter von einem User beschrieben konnte man offenbar zeitweise durch das Ändern des iPhone-Namens auf die iCloud von Apple zugreifen. Durch solche Aktionen könnten Online-Kriminelle dann auch Schadprogramme auf den infiltrierten Servern laufen lassen. Allerdings haben die Systeme großer Anbieter meist mehrschichtige Schutzmechanismen.

Lesen Sie dazu auch

Wir benötigen Ihre Einwilligung, um den Inhalt von Twitter anzuzeigen

Hier kann mit Ihrer Einwilligung ein externer Inhalt angezeigt werden, der den redaktionellen Text ergänzt. Indem Sie den Inhalt über „Akzeptieren und anzeigen“ aktivieren, kann die Twitter International Company Informationen auf Ihrem Gerät speichern oder abrufen und Ihre personenbezogenen Daten erheben und verarbeiten, auch in Staaten außerhalb der EU mit einem niedrigeren Datenschutz Niveau, worin Sie ausdrücklich einwilligen. Die Einwilligung gilt für Ihren aktuellen Seitenbesuch, kann aber bereits währenddessen von Ihnen über den Schieberegler wieder entzogen werden. Datenschutzerklärung

Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.

Welche Dienste und Systeme betrifft das Problem?

Viele Unternehmen nutzen die betroffene Bibliothek, zum Beispiel Apple und Google. Eine vollständige Liste gibt es aber noch nicht. Allerdings könnten nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnte angegriffen werden, wenn die Geräte Java und Log4j benutzten, betont der Firewall-Spezialist Cloudflare.

Wird die Sicherheitsslücke aktuell ausgenutzt?

Ja. Das BSI twitterte am Sonntagabend, dass bereits Angriffe erfolgen. Eine vollständige Liste mit Dienstleistern, die Log4j nutzen und damit betroffen sein könnten, gibt es bisher nicht.

Wir benötigen Ihre Einwilligung, um den Inhalt von Twitter anzuzeigen

Hier kann mit Ihrer Einwilligung ein externer Inhalt angezeigt werden, der den redaktionellen Text ergänzt. Indem Sie den Inhalt über „Akzeptieren und anzeigen“ aktivieren, kann die Twitter International Company Informationen auf Ihrem Gerät speichern oder abrufen und Ihre personenbezogenen Daten erheben und verarbeiten, auch in Staaten außerhalb der EU mit einem niedrigeren Datenschutz Niveau, worin Sie ausdrücklich einwilligen. Die Einwilligung gilt für Ihren aktuellen Seitenbesuch, kann aber bereits währenddessen von Ihnen über den Schieberegler wieder entzogen werden. Datenschutzerklärung

Warum könnte die Panne noch länger Probleme bereiten?

Angreifer könnten jetzt mithilfe der Lücke auch unauffällige Hintertüren für sich einbauen. Ihre Angriffe könnten sie dann nach einigen Wochen oder Monaten immer noch durchführen.

Wie ist die Sicherheitslücke bei Log4j aufgefallen?

Das Problem wurde öffentlich bekannt, nachdem die Sicherheitslücke am Donnerstag auf Servern für das Online-Spiel "Minecraft" auffiel. Nachträglich stellte die IT-Sicherheitsfirma Cloudflare fest, dass schon mindestens seit dem 1. Dezember auf die Sicherheitslücke ausgerichtete Angriffsversuche im Umlauf waren. Allerdings habe es erst zum Wochenende Attacken auf breiter Front gegeben.

Was können Verbraucherinnen und Verbraucher jetzt tun?

Privatleute, die sich nun Sorgen um ihre digitale Sicherheit machen, müssen sich aktuell vor allem auf Online-Dienstleister verlassen. Updates, die die Sicherheitslücke schließen, gibt es bereits. Aber die Unternehmen müssen diese nun installieren. Und genauso sollten auch Nutzerinnen und Nutzer darauf achten, Updates durchzuführen und ihre Software aktuell zu halten.

Ein weiterer Tipp, der aber im Internet eigentlich immer gilt: User und Userinnen sollten ihre Zugangsdaten gut schützen und keine Passwörter mehrfach verwenden. (mmhe, mit dpa)

Themen folgen

Die Diskussion ist geschlossen.