Beim BSI herrscht Alarmstufe Rot, seit die Log4j-Sicherheitslücke bekannt ist. Einem Bericht zufolge ist nun auch klar, dass mehrere Stellen der Bundesverwaltung potenzielles Einfallstor für Hacker-Attacken war - nach allem, was bisher bekannt ist, jedoch ohne Folgen.

Einem Bericht zufolge waren mehrere Stellen in der Bundesverwaltung wegen der schwerwiegenden Sicherheitslücke für Cyber-Angriffe verwundbar. Das haben laut "Spiegel" Überprüfungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergeben. Hintergrund ist die für Hackerangriffe anfällige Programmbibliothek Log4j, die bei einer einstelligen Zahl an Bundesbehörden zum Einsatz kommt.

Technik 12.12.21

BSI: Warnstufe Rot Software-Sicherheitslücke alarmiert Bundesamt

"Bei einer Schwachstelle mit dieser Verbreitung ist auch die Bundesverwaltung betroffen", heißt es aus dem BSI. Der Behörde seien einzelne verwundbare Systeme bekannt und man habe bereits entsprechende Schutzmaßnahmen eingeleitet. Bisher liegen keinerlei Hinweise vor, dass die Schwachstelle in der Bundesverwaltung tatsächlich ausgenutzt wurde. Zumindest in einigen Fällen konnte das BSI nachvollziehen, dass die Probleme bereits behoben wurden.

Hacker können durch die Schwachstelle theoretisch eigene Schadsoftware nachladen und so Daten stehlen. Seit Freitag warnen IT-Fachleute in aller Welt, weil es sich bei Log4j um eine äußerst weitverbreitete Programmbibliothek handelt.

Am Samstag hatte das BSI die höchste, rote Warnstufe wegen der Sicherheitslücke ausgerufen. Gleichzeitig wurde laut "Spiegel" auch das IT-Krisenreaktionszentrum der Behörde aktiviert. Dabei handelt es sich um ein aufgestocktes Lagezentrum, in dem seitdem rund um die Uhr mehrere Personen mit dem Problem befasst sind.

Im nationalen Cyberabwehrzentrum ist die Schwachstelle ebenfalls thematisiert worden. Das Innenministerium sei dem Bericht zufolge mehrfach über die aktuellen Vorgänge unterrichtet worden, auch weil das Thema auf der Bundespressekonferenz am Montag eine Rolle spielen könnte. Außerdem habe eine einstellige Anzahl an Unternehmen aus dem Bereich Kritische Infrastruktur dem BSI gemeldet, dass sie von der Schwachstelle betroffen seien.