Nun hat sich auch die Melde- und Analysestelle Informationssicherung Melani geäussert wurde die Sicherheitslücke in der Bourne Again Shell (Bash) bekannt. Es handelt sich dabei um einen Programmierfehler in der Softwarekomponente "Bash", die auf vielen Linux/Unix-Systemen standardmässig zum Einsatz kommt. Der Programmierfehler führt dazu, dass Hacker unter gewissen Bedingungen in diese Computersysteme eindringen können.

Allerdings sind nicht alle Linux-Webserver zwangsläufig verwundbar - es hängt von der konkreten Systemkonfiguration ab, so Switch-Security-Engineer Daniel Roethlisberger gegenüber inside-it.ch. Weltweit waren seit Mittwochabend zunehmende Bemühungen von Cyberkriminellen zu beobachten, um verwundbare Systeme ausfindig zu machen, so Roethlisberger weiter. "Solche Versuche beobachten wir auch in der Schweiz und analysieren sie laufend. Wie viele Systeme effektiv kompromittiert wurden, können wir nicht beziffern." Für viele Systeme gebe es aber bereits Sicherheitsupdates, die so rasch als möglich einzuspielen seien, empfiehlt auch Melani.

Die Einschätzungen gehen weit auseinander: Die einen Sicherheitsexperten sagen, dass es keine gravierende Lücke sei - andere wiederum sehen darin eine grössere Gefahr als damals mit dem OpenSSL-Bug Heartbleed. Für René Rehmann, Adnovum Security Officer, ist klar: "Die Einschätzungen gehen deshalb auseinander, weil dies von den individuellen Infrastrukturen abhängt." Denn Systeme, die keine laufenden Web-Services haben, sind wenig bis gar nicht betroffen. Das grösste Risiko gehe von den Web-Servern aus, die auf dem Internet sichtbar sind. Diese sind je nach Konfiguration stark oder wenig gefährdet.

Ein Problem sieht Rehmann beim Aufwand. Denn um die Lücke restlos zu beheben, müsse jedes System gepatcht werden. Ausserdem seien auch viele Web-Server betroffen, was das Risiko zusätzlich steigere. Ruedi Kubli, Manager Perimeter Security bei United Security Providers, geht noch weiter: "Da die Ausnutzung der Sicherheitslücke hier eher einfach ist, schätze ich die Bedrohung als hoch ein. Diese ist auch höher als mit der letzten Sicherheitslücke Heartbleed."

Switch-Experte Roethlisberger wiederum relativiert. Zwar sei die Schwachstelle ein reales Problem. "Allerdings muss man sich auch bewusst sein, dass derartige Schwachstellen kein neues Phänomen sind. Neu ist lediglich, dass die breite Öffentlichkeit Schwachstellen überhaupt wahrnimmt, was möglicherweise mit der zunehmenden Abhängigkeit von der Technologie zu tun hat."

"Wo immer auch Software entwickelt und eingesetzt wird, muss mit Sicherheitslücken gerechnet werden. Das wird sich auch in Zukunft nicht ändern," so die klare Analyse von Roethlisberger. Die Frage sei nur, ob man in der Lage sei, auch in Zukunft auf die Schwachstellen zu reagieren.

Ins gleiche Horn bläst der Experte des Berner Security-Spezialisten United Security Providers Rudolf Kubli. "Meine persönliche Einschätzung ist, dass wir in Zukunft noch vermehrt auf solche Sicherheitslücken treffen werden," sagt er gegenüber inside-it.ch. Dabei nennt er das Beispiel der Entwicklung des Internets der Dinge, "wo wir noch einige Überraschungen im Bereich der Sicherheit erleben werden."

Der Adnovum-Security-Officer Rehmann sieht aber auch noch einen systematischen Faktor, weshalb es zu mehr Sicherheitslücken kommt: Mehr Tests. Denn dank Heartbleed und früheren Bugs werden vermehrt Sourcecode-Analysen gemacht. Insofern sei nicht auszuschliessen, dass noch mehr solche Fehler auftauchen. "Aber dies hat auch den Vorteil, dass die Fehler dann behoben werden. Ein Fehler, der nicht oder (noch schlimmer) nur einer kleinen Gruppe von Hackern bekannt ist, ist viel schlimmer, als ein Fehler, der bekannt gemacht und dann behoben wird." Auch wenn es kurzfristig sehr viel Aufwand zum Beheben des Fehlers gibt. (Linda von Burg)