Alarmstufe Rot: Log4j-Schwachstelle bedroht Unternehmen und Privatnutzer

Eine Sicherheitslücke in der weit verbreiteten Software Log4j bedroht eine noch nicht abzuschätzende Anzahl von Unternehmen und auch Privatnutzern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die höchste Warnstufe 4 bzw. Rot verhängt. Die Java-Bibliothek Log4j ist Teil von sehr vielen Java-Anwendungen, betroffen sind Google, IBM, Cloudflare, Amazon Web Services, Twitter und tausende andere große und kleine Unternehmen und darüber hinaus auch Privatanwender oder Mitarbeiter im Homeoffice. Sogar die NSA ist betroffen.

Das BSI bezeichnet die Bedrohungslage als „extrem kritisch“, auch, weil es enorm einfach sei, die Schwachstelle auszunutzen. Sie erlaube das Ausführen von beliebigem Code. Der Spiegel spricht von einem Rennen zwischen guten und bösen Hackern, denn Sicherheitsupdates werden nun nach und nach implementiert, solange diese aber fehlen, sind Systeme von Angreifern leicht zu attackieren. Das BSI hat einen Katalog mit Sofortmaßnahmen veröffentlicht. Nicht zwingend benötigte Systeme sollten abgeschaltet und Netzwerke segmentiert werden. Außerdem sollten ein- und ausgehende Verbindungen protokolliert werden.

Die Sicherheitslücke werde bereits aktiv von Kriminellen genutzt, die nicht einzelne Geräte, sondern ganze Server angreifen. Und das funktioniert vergleichsweise problemlose, da schon wenige Code-Zeilen ausreichen, um die Schwachstelle auszunutzen. Wer etwa im Chat des Videospiels Minecraft die richtige Zeichenfolge eintippt, kann den gesamten Server übernehmen, zeitweilig konnte man in Apple iCloud-Systeme eindringen, wenn man sein iPhone mit der richtigen Ziffernfolge umbenannte. Zudem wird das Problem wohl noch große Auswirkungen haben, denn Angreifer können mittels der Log4j-Schwachstelle jetzt Hintertüren einbauen, um sie künftig zu nutzen. „Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später“, warnt Rüdiger Trost von F-Secure im Spiegel. Weiteres Problem: Die Schwachstelle besteht offenbar schon länger, bekannt wurde sie nun, als sie auf den Minecraft-Servern auffiel.

Google macht bei Zwei-Faktor-Authentifizierung ernst

Bei Google wird die Zwei-Faktor-Authentifizierung (2FA) immer wichtiger. In einer E-Mail hat Google den Nutzern mitgeteilt: „Am 14. Dezember wird die Bestätigung in zwei Schritten automatisch aktiviert.“ Wer sein Konto bislang nicht bereits doppelt gesichert hat, muss dies ab Dienstag tun, das Passwort allein reicht nicht zum Login ins Google-Konto. Das gilt zumindest für Nutzer, die in ihrem Konto bereits die entsprechenden 2FA-Einstellungen hinterlegt haben. Wie Google gegenüber dem Spiegel bestätigte, betreffe dies etwa 150 Millionen User weltweit. Wer das System bisher nicht nutzt, wird zunächst auch weiterhin nicht dazu gezwungen. Eine Umstellung zurück auf die einfache Passworteingabe sei möglich, aber nicht ratsam. In Zukunft wird Google das Thema weiter forcieren.

Explodierende Akkus: Apple-Nutzer bereiten Sammelklage vor

Fünf Nutzer einer Apple Watch haben im US-Bundesstaat Kalifornien Klage gegen Apple eingereicht. Der Grund: Die Akkus in der Apple Watch. Diese sollen sich bei plötzlicher Erhitzung ausdehnen und das Display aus dem Gehäuse drücken. Dies könne zu schweren Verletzungen führen. Einer der Kläger habe dies selbst erlebt, bei dem Vorfall sei eine Ader am Unterarm durchtrennt worden, so Golem. Apple soll sich der Gefahr bewusst sein, aber nichts unternehmen. Den Klägern geht es nun um die Zulassung einer Sammelklage. Apple sehe die Schuld meist bei den Kunden und lehne obendrein eine kostenlose Reparatur ab. Nur in bestimmten Fällen werde die Herstellergarantie von einem auf drei Jahre ausgeweitet.