Games Music Hörbücher Gymondo MyTone Alle Services
vodafone.de

BSI warnt vor gravierender Sicherheitslücke

Durch die Aufmerksamkeit eines Ingenieurs wurde über Ostern eine Hintertür im Linux-Betriebssystem entdeckt, das im Internet sehr verbreitet ist. Nun kommen auf Systemadministratoren Hausaufgaben zu.
Tastatur
Ein Ingenieur entdeckte eine kritische Hintertür im Linux-Betriebssystem (Symbolbild). © Sebastian Gollnow/dpa

Nach der Enttarnung eines potenziellen Cyberangriffs auf unzählige Internet-Server hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Verantwortlichen aufgefordert, Gegenmaßnahmen einzuleiten. In einer offiziellen Sicherheitswarnung sprach das BSI von einer «kritischen Hintertür» beim Betriebssystem Linux, die geschlossen werden müsse.

Die mit großem Aufwand eingeschleuste Sicherheitslücke war vor Ostern vom deutschen Software-Ingenieur Andres Freund entdeckt worden, der in den USA für Microsoft arbeitet. Dem 38 Jahre alten Datenbank-Experten war aufgefallen, dass eine sogenannte Remote-Anmeldung bei einem Linux-Computer plötzlich mehr Rechenleistung benötigte und eine unerklärliche Verzögerung von 500 Millisekunden auftrat.

Nach einer aufwendigen Suche entdeckte Freund Manipulationen in dem Softwaretool «XZ Utils», einem von vielen Linux-Varianten genutzten Open-Source-Projekt zur Daten-Kompression, das seit vielen Jahren von einem einzelnen Freiwilligen als Hobby betreut worden war. Die manipulierten «XZ Utils» hätten «die am weitesten verbreitete und effektivste Hintertür gewesen sein können, die jemals in ein Softwareprodukt eingebaut wurde», sagte der renommierte Sicherheitsexperte Alex Stamos, Ex-Sicherheitschef von Facebook. Die Hintertür wäre weit verbreitet worden, da auch die Linux-Fernsteuersoftware SSH das Kompressionswerkzeug verwendet.

Vergleich mit Bäckerei-Arbeiter

Die «New York Times» verglich den deutschen Software-Experten mit einem Bäckerei-Arbeiter, der «an einem frisch gebackenen Brot riecht und spürt, dass etwas nicht stimmt und zu dem Schluss kommt, dass jemand die gesamte weltweite Hefeversorgung manipuliert hat». Zuvor war bekannt geworden, dass sich ein Cyberkrimineller mit dem Pseudonym «Jia Tan» über Monate hinweg in das Vertrauen des rechtmäßigen Programmierers des betroffenen Software-Tools eingeschlichen hatte, um dann die Manipulationen in dem Software-Code vorzunehmen.

Das BSI forderte nun die Systemadministratoren auf zu überprüfen, ob auf ihren Linux-Systemen eine manipulierte Version der «XZ Utils» installiert wird. Die Sicherheitswarnung bezieht sich konkret auf die Versionen 5.6.0 und 5.6.1 der Tools. Die Bonner Behörde stufte die IT-Bedrohungslage als «geschäftskritisch» ein und warnte vor einer «massiven Beeinträchtigung des Regelbetriebs».

© dpa
Das könnte Dich auch interessieren
Empfehlungen der Redaktion
Rod Stewart
People news
Rod Stewart: «Putin muss gestoppt werden»
Coldplay auf der Bühne
Musik news
Coldplay: Platte aus Plastikflaschen
10 faszinierende Fakten über Pixar, die Dich verblüffen werden
Tv & kino
10 faszinierende Fakten über Pixar, die Dich verblüffen werden
Samsung Galaxy S24 FE: Wird es besser als das Galaxy S24?
Handy ratgeber & tests
Samsung Galaxy S24 FE: Wird es besser als das Galaxy S24?
Widget-Ansicht auf dem Windows-Sperrbildschirm
Das beste netz deutschlands
So schalten Sie den neuen Sperrbildschirm in Windows ab
Funkmast
Internet news & surftipps
Netzagentur-Chef: Pflicht für flächendeckendes Handynetz
Torjubel
Fußball news
Fehlstart für Ukraine: «Einfach nur bei allen entschuldigen»
Arbeit am Laptop
Job & geld
«Finanztest»: Online-Rechtsberatung überzeugt nicht immer