URI: 

       # taz.de -- Sicherheitslücke in Deutschland: Mangelhafte Cyber-Abwehr
       
       > Die sogenannte Log4j-Sicherheitslücke ist ein Einfallstor für Kriminelle.
       > Eine konzentrierte Kontrollmacht fehlt. Jetzt wäre ein guter Zeitpunkt.
       
   IMG Bild: Gar nicht lustig: Cyberalarm
       
       Das Kommando „Alarmstufe Rot!“ signalisiert in vielen Filmen den kurz
       bevorstehenden Katastrophenfall. Meist knallt es dann irgendwo und es geht
       unmittelbar um Leben und Tod. So anschaulich ist [1][die jüngste Warnung
       des Bundesamts für Sicherheit in der Informationstechnik (BSI)] nicht. Aus
       den technischen Spezifikationen kann kein Laie die Gefahren herauslesen.
       Nichts ist explodiert. Die Gefahr bleibt im Hintergrund, verbirgt sich in
       Programmierzeilen. Das macht sie so schwer verständlich.
       
       Nachvollziehbar werden die Sorgen der Experten mit Blick auf die möglichen
       Folgeschäden, sollten Kriminelle das Einfallstor, die
       Log4j-Sicherheitslücke für Angriffe auf Unternehmen, Behörden oder
       Privatleute, nutzen. Der Verband der Internetwirtschaft spricht nicht
       umsonst von einem „neuen, erschreckenden Level“ der Bedrohung. Üblich waren
       bisher vor allem [2][Angriffe auf Endgeräte wie den PC zu Hause] oder auf
       Firmensysteme. Über Spam-Mails werden dabei oft Schadprogramme in das
       jeweilige System geschmuggelt. Anschließend wird es beispielsweise
       lahmgelegt und erst gegen Zahlung eines Lösegeldes wieder freigegeben.
       
       In diesem Fall aber geht es um die [3][Möglichkeit für Kriminelle, Zugriff
       auf ganze Server zu bekommen]. Im Extremfall, der hoffentlich nicht
       eintreten wird, könnten sie etwa die Kontrolle über Smartphone-Hersteller
       übernehmen und die einzelnen Smartphones mit dem nächsten Update der
       Software manipulieren. Es ist nur eines von vielen denkbaren Szenarien,
       wenn die Cyberabwehr nicht schleunigst ins Rollen kommt. Und es erklärt die
       Alarmstimmung der Fachwelt.
       
       Die Sicherheitslücke in dieser einen Anwendung deckt eine viel größere auf.
       Wirtschaft und Verwaltungen schützen sich nicht ausreichend gegen
       Cyberkriminalität. Das hat mehrere Ursachen, die teils schwer zu beseitigen
       sind. So kommt die wesentliche Software aus anderen Ländern, vor allem den
       USA. Auf deren Arbeit kann niemand hier Einfluss nehmen. Und es gibt keine
       perfekten Programme. Einfallstore für Cyberkriminelle sind praktisch nicht
       zu vermeiden. Das Betriebssystem von Microsoft umfasst rund 50 Millionen
       Programmzeilen.
       
       ## Systematische Suche kostet Geld
       
       Ein paar fehlerhafte reichen als Angriffsfläche aus. Andere Gründe für
       Lücken im Sicherheitsnetz sind aber durchaus zu schließen. So sind
       sogenannte Open-Source-Programme beliebt, weil sie kostengünstig sind und
       die Abhängigkeit von den Tech-Riesen verringern. In die Programmierung
       dieser offenen Software kann jeder hineinschauen. Damit könnten auch
       Schwachstellen rasch auffallen und beseitigt werden. Doch die systematische
       Suche danach kostet Geld und Zeit.
       
       Es gibt keine Institution, die diesen Sicherheitsjob im gesellschaftlichen
       Auftrag übernimmt. Jeder wurschtelt vor sich hin, statt eine konzentrierte
       Gegenmacht zur Cyberkriminalität aufzubauen. Vielleicht ist jetzt ein guter
       Zeitpunkt dafür. Denn angesichts der wachsenden volkswirtschaftlichen
       Bedeutung der Digitalisierung kommt dem Schutz der Systeme bald eine
       existenzielle Bedeutung zu.
       
       14 Dec 2021
       
       ## LINKS
       
   DIR [1] https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=8
   DIR [2] /Unterschaetzte-Cyberkriminalitaet/!5685254
   DIR [3] /Statistik-zu-Kriminalitaet-im-Internet/!5770887
       
       ## AUTOREN
       
   DIR Wolfgang Mulke
       
       ## TAGS
       
   DIR Cybersicherheit
   DIR Internet
   DIR Cyberkriminalität
   DIR Cyberwar
   DIR Kolumne Digital Naives
   DIR Kolumne Digital Naives
   DIR Cyberkriminalität
   DIR Funke Mediengruppe
   DIR Kolumne Internetexplorerin
       
       ## ARTIKEL ZUM THEMA
       
   DIR Cyber-Attacken auf Windenergiebranche: Erpressung aus dem Cyberraum
       
       Eine Windenergiefirma aus Bremen hat einen Cyberangriff erlebt – nicht als
       einzige der Branche. Für Cyber War hält man das dort aber noch nicht.
       
   DIR Deepfakes und Cyberattacken: Der Krieg im Internet
       
       Im Krieg gegen die Ukraine setzt Russland auch auf Angriffe im Internet.
       Cybersicherheit muss deshalb stärker in den Fokus rücken.
       
   DIR Cybersöldner-Firmen bei Facebook: Überwachung im Netz
       
       Über Meta-Plattformen wurden 50.000 Nutzer in den vergangenen Monaten
       ausspioniert oder gehackt. Dabei werden auch altbekannte Namen genannt.
       
   DIR Statistik zu Kriminalität im Internet: BKA registriert mehr „Cybercrime“
       
       Die Zahl krimineller Hackerangriffe stieg 2020 in Deutschland um etwa acht
       Prozent. Die Täter:innen agierten laut Behörden zunehmend professionell.
       
   DIR Hackerangriff auf Funke Mediengruppe: Kritische Infrastruktur
       
       Eine Cyberattacke blockiert seit sechs Tagen die Zeitungen des Essener
       Verlags Funke. Die Behörden stufen den Fall als besonders heikel ein.
       
   DIR Unterschätzte Cyberkriminalität: Phishing, das sind die anderen
       
       Auf betrügerische E-Mails hereinzufallen halten wir für unwahrscheinlich,
       sagt eine Studie. Bei unseren Mitmenschen sehen wir das größere Risiko.