Die weltweite Internet-Sicherheitslücke „LOG4J“ bereitet auch in Berlin Sorgen. Die Computer-Schwachstelle könnte in der Hauptstadt Daten von Behörden und Unternehmen, womöglich auch von Bürgerinnen und Bürgern bedrohen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte am Wochenende eine Sicherheitswarnung hierzu auf Warnstufe Rot herausgegeben.

„Diese Java-Bibliothek ist in sehr vielen Software-Produkten verbaut“, erklärt ein BSI-Sprecher auf Nachfrage. Diese Art Logbuch diene im Normalfall dazu, Protokolle für Administratoren anzulegen, um Fehler zu finden. Die entdeckte Lücke bewirke, dass Eingaben nicht nur protokolliert, sondern auch ausgeführt würden. „Die Schwachstelle ist extrem einfach auszunutzen“, sagt der Sprecher.

So hätten beim beliebten Online-Spiel „Minecraft“ einfache Eingaben in ein Chatfenster gereicht, um den jeweiligen Server zu übernehmen. Angreifer könnten so Computer quasi aus der Ferne steuern. Die Schwierigkeit, erklärt das BSI, sei nun herauszufinden, in welchen Produkten diese verwundbare Bibliothek eingebaut sei. Das müssten Behörden und Unternehmen nun prüfen, das könne dauern.

„Verbraucherinnen und Verbraucher sind nicht in diesem Maße betroffen wie Unternehmen und Organisationen, weil diese Bibliothek auf Endgeräten wie Smartphones oder Tablets nicht so weit verbreitet ist“, so der BSI-Sprecher. „Ich kann aber auch nicht vollständig Entwarnung geben.“ Ein Beispiel sei, wie gesagt, das Spiel Minecraft, für das es mittlerweile eine sichere Aktualisierung gebe.

Wenn Bürgerämter wirklich keine Termine mehr anbieten können

Auf seiner Webseite bietet das BSI Handlungsanweisungen an, wie man sich nun absichern kann. „Wer sich jetzt nicht schützt, wird relativ sicher später Opfer eine Cyber-Attacke“, so der Sprecher. Die Form der Angriffe sei unterschiedlich. Kriminelle könnten etwa auf infizierten Computern Krypto-Währungen erzeugen oder sie zu großen Netzwerken zusammenfügen, um dann andere anzugreifen.

„Viele Werkzeuge bereiten spätere Angriffe vor“, so das BSI. Verschlüsselungs-Trojaner hätten in den letzten Jahren große Schäden verursacht, indem sie Daten stehlen oder Systeme lahmlegen und erst gegen Lösegeld wieder freigeben. So galt ein Hacker-Angriff Ende 2019 dem Berliner Kammergericht. Neben gestohlenen Daten sei es laut BSI „auch ein Problem, wenn Stadtverwaltungen bürgernahe Dienstleistungen nicht mehr anbieten können“. Also wenn Menschen keine Autos bei Zulassungsstellen anmelden, kein Elterngeld beantragen, Ehe oder Geburt nicht beurkunden lassen können.

Senat schaltet seine Dienstleister ein

Obwohl Spötter sagen könnten, das sei in Berlin ohnehin nur begrenzt möglich und sowieso finde noch vieles in Papier-Ordnern statt, laufen in Wirklichkeit die meisten Prozesse digital.

Daher sichern sich die Berliner Behörden ab. „Alle vom BSI empfohlenen Maßnahmen werden geprüft und umgesetzt“, so Sylvia Schwab, Sprecherin der Senats-Innverwaltung. Für den Schutz der zentralen Infrastruktur der Berliner Verwaltung wurde nach Bekanntwerden der Schwachstelle das IT-Dienstleistungszentrum (ITDZ) Berlin tätig, das die gesamte IT-Infrastruktur in Berlin koordiniert.

„Dazu zählt unter anderem die Anpassung der ITDZ-Sicherheitssysteme sowie das Einspielen von Sicherheitsupdates“, teilt das ITDZ mit. Hierzu stehe man in engem Austausch mit den Herstellern der betroffenen Systeme. Bisher konnte keine Ausnutzung der Sicherheitslücke festgestellt werden.

Wichtige Daten wie Fotos oder Abschlussarbeiten lieber extern speichern

Die Bezirksämter verweisen ebenfalls auf das ITDZ. Große Berliner Digitalunternehmen wollen sich auf Nachfrage nicht äußern, sie prüfen mit ihren IT-Teams offenbar noch mögliche Konsequenzen.

Was sollten die privaten Verbraucher beachten? „Sie sollten sich aktiv informieren“, rät Marc Fliehe, Sprecher des TÜV-Verbandes Berlin, der IT-Sicherheitsmanagement für Unternehmen anbietet. Dazu gehöre, angebotene Updates der Hersteller unbedingt zu installieren. Das BSI rät zudem dazu, „persönlich wichtige Daten wie Fotos oder Abschlussarbeiten, die kurz vor Abschluss stehen, auf einer externen Festplatte zu sichern, ohne Verbindung zum Internet“. Sicher ist sicher.