Minecraft-Server brachten die Experten auf die Spur: Eine Software-Sicherheitslücke, die Server bedrohen soll. Online-Kriminelle suchen nach Hintertüren, Experten nach Lösungen.

IT-Sicherheitsexperten schlagen Alarm wegen einer Schwachstelle, die auf breiter Front Server im Netz bedroht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Samstag seine Warnstufe zu der Sicherheitslücke von Orange auf Rot hoch. Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es zur Begründung unter anderem.

Die Schwachstelle steckt in einer vielbenutzten Bibliothek für die Java-Software. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen können.

Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen. Die Schwachstelle ist auf einige Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.

Das BSI schränkte ein:

"Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden", empfahl das Amt den Diensteanbietern.

Cyberangriffe werden in Deutschland immer häufiger - und immer aufwendiger. Cyberkriminelle nutzen mittlerweile Techniken wie in der Spionage.

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern.

Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert wird. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Das Problem fiel am Donnerstag auf Servern für das Online-Spiel "Minecraft" auf.

IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten am Wochenende daran, die Schwachstelle zu stopfen. Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstebetreiber es installieren. Deshalb baute der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe blockieren soll.

Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Auch etwa ein QR-Scanner oder ein kontaktloses Türschloss könnten angegriffen werden, wenn sie Java und Log4j benutzten, betonte Cloudflare. Die IT-Sicherheitsbranche sah einen Wettlauf mit Online-Kriminellen, die ihrerseits automatisiert nach anfälligen Servern suchen lassen.

"Im Moment liegt die Priorität darauf, herauszufinden, wie weit verbreitet das Problem wirklich ist", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. "Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden." Angreifer könnten jetzt mit Hilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost.

Cyberattacken bedrohen den Alltag. Das nutzen auch Staaten für sich aus. Wie sicher ist die Bundestagswahl? Aktuelle News und Hintergründe zu Hackerangriffen...

Melden Sie sich hier mit Ihrem bestehenden ZDF-Konto an.

Bitte füllen Sie alle Pflichtfelder aus.

Diese E-Mail hat ein invalides Format.

Sie haben nicht das richtige Passwort für dieses Benutzerkonto eingegeben.

Sie haben nicht das richtige Passwort für dieses Benutzerkonto eingegeben.

Ich willige ein, dass das ZDF meine Daten zu den in der Datenschutzerklärung dargestellten Zwecken, insbesondere zur Bereitstellung der Mediathek einschließlich persönlicher Empfehlungen im beschriebenen Umfang nutzt. Meine Einwilligung kann ich jederzeit widerrufen. Weitere Informationen zu den Möglichkeiten zur Einschränkung der Datenverarbeitung, zum Datenschutz und meinen Rechten finde ich in der Datenschutzerklärung.

Sie haben nicht das richtige Passwort für dieses Benutzerkonto eingegeben.

Bitte wählen Sie einen Benutzernamen.

Bitte wählen Sie einen Benutzernamen mit weniger als 256 Zeichen.

Bitte geben Sie eine E-Mail-Adresse an.

Zu der eingegebenen E-Mail existiert bereits ein Account oder das Passwort entspricht nicht den erforderlichen Kriterien. Bitte probiere es noch einmal.

Mailadresse bereits bekannt, bitte mit bestehendem Account einloggen und Kinderprofil anlegen

Diese E-Mail hat ein invalides Format.

Das Passwort muss mindestens 8 Zeichen lang sein.

Das Passwort muss mindestens einen Großbuchstaben enthalten.

Das Passwort muss mindestens einen Kleinbuchstaben enthalten.

Das Passwort muss mindestens einen Kleinbuchstaben enthalten.

Das Passwort muss mindestens 8 Zeichen lang sein und mindestens eine Zahl enthalten.

Bitte akzeptieren Sie die Nutzungsbedingungen.

Bitte akzeptieren Sie die Datenschutzerklärung.

Bitte geben Sie Ihr Einverständnis.

Bitte akzeptieren Sie die Datenschutzbestimmungen.

Bei der Registrierung ist ein Fehler aufgetreten. Bitte überprüfen Sie Ihre Eingaben.

Das Paswort muss mindestens 8 Zeichen lang sein, einen Großbuchstaben, eine Ziffer und ein Sonderzeichen enhtalten.

Bitte tragen Sie die E-Mail-Adresse ein, mit der Sie sich bei uns registriert haben!

Bitte geben Sie eine E-Mail-Adresse an.

Bitte geben Sie eine valide E-Mail-Adresse an.

Diese E-Mail-Adresse ist uns leider nicht bekannt. Bitte tragen Sie die E-Mail-Adresse ein, mit der Sie sich bei uns registriert haben.

Bei der Passwort-Anfrage ist ein Fehler aufgetreten.

Sie erhalten von uns in Kürze eine E-Mail mit Infos, wie Sie Ihr Passwort zurücksetzen können.

Sie können nun Ihr neues Passwort festlegen:

Bitte füllen Sie alle Pflichtfelder aus.

Die eingegebenen Passwörter stimmen nicht überein.

Das Passwort muss mindestens 8 Zeichen lang sein.

Das Passwort muss mindestens einen Großbuchstaben enthalten.

Das Passwort muss mindestens einen Kleinbuchstaben enthalten.

Das Passwort muss mindestens 8 Zeichen lang sein und mindestens eine Zahl enthalten.

Beim Zurücksetzen des Passwortes ist ein Fehler aufgetreten.

Das Paswort muss mindestens 8 Zeichen lang sein, einen Großbuchstaben, eine Ziffer und ein Sonderzeichen enhtalten.

Sie haben Ihr Passwort erfolgreich geändert und können sich jetzt mit Ihrem neuen Passwort einloggen.

Sie erhalten von uns in Kürze eine Bestätigungs-Mail. Bitte bestätigen Sie Ihre Registrierung durch Klick/Tap auf den dort enthaltenen Link.

Bitte geben Sie uns einen Augenblick, um die Aktivierung durchzuführen…

Sie haben sich erfolgreich registriert.

Bitte versuchen Sie es erneut.

Die Anmeldung ist im Moment leider nicht möglich. Bitte versuche es zu einem späteren Zeitpunkt noch einmal.

Sie müssen jetzt ein Kinderprofil anlegen, um Ihren Account für „Mein ZDFtivi“ verwenden zu können.

Bitte geben Sie Ihr Einverständnis.

Hier kann sich Ihr Kind einen Spitznamen geben.

Bitte geben Sie einen Spitznamen ein.

Bitte wählen Sie einen Spitznamen mit weniger als 256 Zeichen.

Der gewählte Benutzername ist nicht zulässig.

Bei der Registrierung ist ein Fehler aufgetreten. Bitte überprüfen Sie Ihre Eingaben.

Hinweis: Im Internet ist es nicht üblich, seinen echten Namen zu verwenden.

Hier kann sich Ihr Kind eine Figur aussuchen.

Bitte wählen Sie eine Figur aus.

Hinweis: Die Figur kann jederzeit im Bereich „Mein ZDFtivi“ geändert werden.

Viel Spaß mit Mein ZDFtivi!

Sie haben sich mit diesem Gerät ausgeloggt.

Sie haben sich von einem anderen Gerät aus ausgeloggt, Sie werden automatisch ausgeloggt.

Ihr Account wurde gelöscht, Sie werden automatisch ausgeloggt.

Um Sendungen mit einer Altersbeschränkung zu jeder Tageszeit anzuschauen, kannst du jetzt eine Altersprüfung durchführen. Dafür benötigst du dein Ausweisdokument.

Du wechselst in den Kinderbereich und bewegst dich mit deinem Kinderprofil weiter.

An dieser Stelle würden wir dir gerne die Datenschutz-Einstellungen anzeigen. Möglicherweise hast du einen Ad-Blocker oder ähnliches in deinem Browser aktivert, welcher dies verhindert. Falls du die Datenschutzeinstellungen sehen und bearbeiten möchtest, prüfe, ob ein Ad-Blocker oder ähnliches in deinem Browser aktiv ist und schalte es aus. So lange werden die standardmäßigen Einstellungen bei der Nutzung der ZDFmediathek verwendet. Dies bedeutet, das die Kategorien "Erforderlich" und "Erforderliche Erfolgsmessung" zugelassen sind. Weitere Details erfährst du in unserer Datenschutzerklärung.