BSI warnt vor „extrem kritischer Bedrohunglsage“

Kritische Schwachstelle: Gematik nimmt Teile der TI vom Netz APOTHEKE ADHOC, 13.12.2021 08:54 Uhr

Eine Sicherheitslücke in einer oft genutzten Bibliothek für die Java-Software hat die Gematik gezwungen, Teile der TI vom Netz zu nehmen. Foto: shutterstock.com/ Yuri Gurevich
Berlin - 

Ein massives IT-Sicherheitsproblem ist ein weiterer Tiefschlag für die laufenden Projekte der Gematik: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j, die „zu einer extrem kritischen Bedrohungslage“ führe. Von der Gematik mussten „einige Dienste der Telematikinfrastruktur (TI) präventiv vom Internet getrennt werden“.

Das BSI hat seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft – die höchste von vier Warnstufen. „Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte.¡ Die Schwachstelle sei zudem „trivial ausnutzbar“ und ermögliche „eine vollständige Übernahme des betroffenen Systems“. Dem BSI sind nach eigenen Angaben welt- und deutschlandweite „Massen-Scans sowie versuchte Kompromittierungen bekannt“. Auch erste erfolgreiche Kompromittierungen wurden öffentlich gemeldet.

Die Gematik hat besteimmte Dienste präventiv vom Netz genommen: „Die betroffenen Dienste sind potenziell von der Schwachstelle betroffen und werden erst nach dem Schließen der Lücke wieder erreichbar sein. Die getroffenen Vorsichtsmaßnahmen dienen zum Schutz der Daten von Patientinnen und Patienten“, teilt die Gematik mit.

Die Softwarehäuer der Apotheken prüfen aktuell intern, inwiefern eigene Server betroffen sind. Da in den Warenwirtschaftssystemen selbst kein Java verwendet wird, geht der Chef seines Anbieters aus, dass Apotheken mit hoher Wahrscheinlichkeit nicht direkt betroffen sind.

Auch die Großhändler rechnen nicht damit, dass ihnen Ungemach droht. Als Teil der kritischen Infrastruktur hat der Großhandelsverband Phagro mit dem BSI ein Sicherheitskonzept abgestimmt, das den höchsten Standards der Behörde genügt und daher abgesichert sein sollte.

Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gebe es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssten alle Produkte, die Log4j verwenden, ebenfalls angepasst werden.

Hintergrund: Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software-Produkten verankert.

Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist laut BSI derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. „Es ist zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden“, so die düstere Vorhersage.

Das BSI gibt Unternehmen und Organisationen Tipps:

  • die in der Cyber-Sicherheitswarnung skizzierten Abwehrmaßnahmen umsetzen
  • Detektions- und Reaktionsfähigkeiten kurzfristig erhöhen, um die eigenen Systeme angemessen überwachen zu können
  • Updates für einzelne Produkte eingespielen, sobald verfügbar
  • Systeme auf eine Kompromittierung untersuchen