Experten stufen den "Shellshock" genannten Bug in dem Systemprogramm Bash gravierender als "Heartbleed" ein. Das war ein Fehler in der Verschlüsselungssoftware OpenSSL, der Hackern im Web Passwörter und andere sensible Daten zugänglich machte.

Bash ist eine sogenannte Shell, die seit 1989 in Unix-basierten Betriebssystemen verwendet wird. Die Verbreitung ist groß: Server, Router, Android-Smartphones, Apple-Computer, medizinische Geräte und selbst die Computer, die Bitcoins schaffen, haben Bash.

Diese Shell ist die Kommandozentrale des Betriebssystem, "das Ding, dem man sagt, was der Computer machen soll", erklärt ein Gefahrenmanager der Sicherheitsfirma Trend Micro, Christopher Budd.

Der "Bash Bug" eröffnet Eindringlingen die Möglichkeit, auf betroffenen Geräten Programme zu installieren und Kommandos auszuführen. Auf der zehnstufigen Gefahrenskala Common Vulnerability Scoring System, einem Industriestandard, ist der Fehler mit einer zehn eingestuft worden.

"Heartbleed" hatte eine fünf bekommen. Die Ausnutzung der Sicherheitslücke erfordert aber für den Hacker ideale Bedingungen, was die Folgen begrenzen könnte, heißt es.

Die Sicherheitslücke in dem 25 Jahre alten Programm ist von Stephane Chanzelas von der Firma Akamai Technologies entdeckt worden. Dass dies erst jetzt aufflog, gehöre zum Wesen solcher Programmierfehler, sagt Budd.

"Da muss halt jemand auf den Code schauen und sagen, da stimmt was nicht, um Probleme zu finden." Auch "Heartbleed" wurde erst nach zwei Jahren entdeckt.

Private Nutzer sollten auf Patches der Hersteller warten und diese dann auch installieren, rät Budd. Windows-Rechner sind nicht betroffen.