Kommandozeilen kennen viele Computeranwender nur vom Hörensagen und vielleicht aus Erinnerungen an MS-DOS-Zeiten. Doch auch moderne Betriebssysteme haben in aller Regel eine Möglichkeit, mittels einer Kommandozeile das System einzurichten und zu steuern. Unter den meisten Linux-Systemen und unter Mac OS X wird dazu ein Programm namens Bash genutzt. Bash ist freie Software und kann von jedem kostenlos genutzt werden. Das Programm wurde erstmals 1989 veröffentlicht und wird im Rahmen des GNU-Projekts überwiegend von Freiwilligen entwickelt. Seit gestern bereitet es Sicherheitsexperten in aller Welt gewaltige Kopfschmerzen.

Der französische Linux-Spezialist Stephane Chazelas hat in Bash einen Fehler gefunden, der insbesondere für Server im Internet, aber auch vielen anderen Geräten zum Verhängnis werden könnte. "Shellshock" wird er von manchen genannt, denn Bash steht für Bourne Again Shell, eine Anspielung auf ein Programm namens Bourne Shell, das als Vorgänger von Bash gilt. Die Auswirkungen des Shellshocks sind nach Einschätzungen vieler Experten ähnlich gravierend wie die des Heartbleed-Bugs in OpenSSL, der im Frühjahr für Aufregung sorgte.

Denn Bash wird nicht nur von Computerexperten aufgerufen, die damit eine nützliche Kommandozeile erhalten. Vielmehr agiert das Programm oft automatisch im Hintergrund. Vor allem Webserver sind betroffen. In vielen Fällen kann ein Angreifer damit über das Netz einen Server, der PHP oder eine andere Programmiersprache zur Darstellung von Webseiten nutzt, dazu bewegen, bösartigen Code auszuführen. Ein solcher Server könnte anschließend beispielweise dazu missbraucht werden, Spam-Mails zu verschicken oder Webseiten mit Viren auszuliefern.

So naheliegend Vergleiche mit Heartbleed sind, so gibt es doch einen großen Unterschied: Heartbleed war hochproblematisch, aber zumindest waren die Auswirkungen leicht zu verstehen und vor allem leicht zu testen. Bei der neuen Bash-Sicherheitslücke ist das anders. Eine Analyse von Sicherheitsspezialisten der Firma RedHat listet bereits vier verschiedene Möglichkeiten auf, wie dieser Fehler von Angreifern ausgenutzt werden könnte. Doch diese Übersicht ist mit Sicherheit nicht vollständig. Anders ausgedrückt: Man weiß zwar, dass ein Problem vorhanden ist, aber nicht, wo es überall Folgen haben könnte.

Der Fehler wird in Zukunft von sich reden machen

Der Sicherheitsexperte Robert Graham sorgt sich vor allem um das sogenannte Internet der Dinge, also Geräte wie beispielsweise Kameras, die ans Netz angeschlossen sind. Denn für die gibt es in vielen Fällen keine Aktualisierungen, mit denen das Problem behoben werden könnte. Auch derartige Kleingeräte lassen sich von Angreifern in vielen Fällen missbrauchen. So könnte etwa eine ans Netz angeschlossene Überwachungskamera Kriminellen Bilder von sensiblen Orten preisgeben.

Mindestens ebenso beunruhigend ist, dass offenbar niemand weiß, wie der Fehler vollständig zu beheben wäre. Zwar stehen seit gestern aktualisierte Versionen von Bash bereit, jedoch fand der bei Google angestellte Sicherheitsexperte Tavis Ormandy bereits einen weiteren Fehler in der korrigierten Version. Dieser ist zwar weniger kritisch und vermutlich nicht so leicht für Angriffe ausnutzbar, dürfte aber klarmachen, wie es weitergeht: Sicherheitsexperten weltweit werden nach weiteren Möglichkeiten suchen, diesen Fehler für Angriffe zu missbrauchen, und viele davon werden ihre Erkenntnisse nicht gleich auf Twitter veröffentlichen. 

Die Lücke existiert seit mehr als 20 Jahren

Es gibt einen lukrativen Markt für geheime Sicherheitslücken, auf dem sich neben kriminellen Organisationen auch Geheimdienste tummeln. Graham sagt deshalb voraus, dass die Sicherheitslücke in Bash irgendwann in den nächsten Monaten wieder in den Nachrichten auftauchen wird, wenn sie jemand für einen spektakulären Angriff ausnutzt.

Möglicherweise ist das längst passiert. Denn der Fehler existiert schon seit mehr als 20 Jahren. Dass er jetzt gefunden wurde, ist Zufall. Fast jedes System mit Linux ist betroffen. Vor allem auf Servern ist Linux weit verbreitet. Einige Linux-Systeme nutzen Bash zwar nicht als Standard-Kommandozeile, darunter Debian und Ubuntu. Doch installiert ist das Programm trotzdem und könnte in seltenen Fällen ebenfalls zu Problemen führen. Apple nutzt Bash in seinem Betriebssystem OS X seit 2005 als Standard-Kommandozeile.