Weltweiter Cyber-Großschaden in letzter Minute verhindert

Im letzten Moment und nur durch Zufall wurde eine katastrophale Sicherheitslücke in Linux-Systemen entdeckt. Praktisch in letzter Sekunde wurde ein weltweites Katastrophenszenario verhindert, das nahezu alle am Internet angeschlossenen Server betroffen hätte. Und den Cyberversicherungen einen massiven Schaden zugefügt hätte.

Ein großer Teil der Server und Internetdienste weltweit läuft auf Linux-Systemen. Eines der wichtigsten und sicherheitsrelevantesten Systemprogramme ist der so genannte ssh-Daemon, der sichere Zugriffe kontrolliert und steuert. Einem Angreifer ist es gelungen, hier aktiv und absichtlich eine Sicherheitslücke einzubauen. Diese wäre weltweit auf praktisch allen Systemen verbreitet worden, wenn sie nicht in allerletzter Sekunde entdeckt worden wäre. Und das war reiner Zufall.

80 Prozent der Internetserver basieren auf Linux. Wenn hier ein zentrales Einfallstor geöffnet würde, wäre das ein absoluter Cyber-GAU.

Die Linuxsysteme basieren praktisch auf einer einheitlichen Systemarchitektur, an der unzählige Menschen weltweit arbeiten. Die Entwicklungsergebnisse einzelner fließen über eine zentrale Stelle in Kernsysteme, die wiederum weltweit verteilt sind. Nun wurde eine gezielte und über Jahre vorbereitete Infiltration aufgedeckt. Einem Programmierer fielen Leistungsschwankungen im Millisekundenbereich auf, denen er auf den Grund gehen wollte. Er fand heraus, dass das auf praktisch allen Linux-Systemen verwendete xz-utils manipuliert wurde. Es wurde eine Hintertür geschaffen, durch die ein Angreifer die Kontrolle über das gesamte System erlangen konnte.

Die Art und Weise, wie die ganze Operation durchgeführt wurde, deutet auf staatliche Akteure hin und kann nicht das Werk eines einzelnen Hackers sein. Besonders beunruhigend ist, dass das manipulierte Tool bereits in einige Linux-Versionen integriert wurde. Glücklicherweise sind diese Versionen noch nicht produktiv, so dass sie noch nicht in der „freien Wildbahn“ eingesetzt wurden. Durch schnelles Handeln der Entwicklergemeinschaft konnten Updates bereitgestellt werden, um die manipulierten Versionen zu ersetzen. Für alle betroffenen Installationen wurde eine komplette Neuinstallation dringend empfohlen.

Das Problem besteht darin, dass immer mehr Software geschrieben wird, deren Zusammensetzung nicht mehr bekannt ist, weil irgendwelche Drittsysteme eingebunden werden, deren Herkunft und Qualität wiederum unbekannt ist und die ihrerseits auf andere Softwarebibliotheken zugreifen.

Im konkreten Fall hat ein Entwickler ohne Historie und mit Phantasienamen eine Hintertür in eine Programmbibliothek eingebaut, mit der er alle Linux-Server der Welt hätte angreifen können. Dagegen wären selbst professionelle Administratoren, die besten Firewalls und Intrusion Detection machtlos gewesen. Und die Versicherer hätten einen Kumulschaden in der Cybersparte zu verzeichnen.

Es wurde entdeckt, weil ein Entwickler erstaunt war, dass das Einloggen in ein System zwei Lidschläge mehr Zeit in Anspruch nahm, als er es gewohnt war.

Nähere Informationen finden sich bei Heise und auch in der Tagespresse.