Wieder liefern sich Hacker und Sicherheitsbeauftragte ein Wettrennen um die Zeit. Der Grund dafür ist die kürzlich entdeckte Sicherheitslücke in der Java-Bibliothek Log4j. Das BSI stuft die Bedrohungslage mit der höchsten Warnstufe "extrem kritisch" ein und warnt vor allem Unternehmen. Lesen Sie, was es mit der Lo4j-Lücke auf sich hat, warum sie so gefährlich ist und was Sie tun können.

Donnerstag, 9. Dezember 2021: Der Startschuss für das Wettrennen zwischen Hackern und Sicherheitsbeauftragten wurde mit der Bekanntgabe der neuen Sicherheitslücke Log4Shell gegeben:

Hacker versuchen die Sicherheitslücke auszunutzen, um möglichst viele Hintertüren für Angriffe in Systemen zu platzieren, bevor sie geschlossen wird. Sicherheitsbeauftragte arbeiten mit Hochdruck daran, die Sicherheitslücke zu schließen und hoffen, dass in der Zwischenzeit möglichst wenig Schaden durch Hacker angerichtet wird.

Was ist Log4j überhaupt?

Log4j steht für „Logging for Java“ und ist eine frei verfügbare Bibliothek für die Programmiersprache Java. Diese besteht aus verschiedenen Bausteinen vordefinierter Befehle. Programmierer fangen bei ihren Software-Entwicklungen nicht bei null an, sondern nutzen diese Bausteine, um eine Infrastruktur für ihre Produkte zu schaffen. Eine dieser Bausteine heißt Log4j und wird in vielen Java-basierten Programmen verwendet. Die wiederum enthalten somit automatisch die kürzlich bekannte Sicherheitslücke.

Alle von WS-Informatik entwickelten Produkte wurden von uns sorgfältig geprüft und sind nicht betroffen.

Was macht Log4Shell so gefährlich?

IT-Sicherheitsexperten sprechen von der größten Sicherheitslücke des Jahrzehnts. Warum? Die Java-Bibliothek ist fest in die Infrastruktur der Systeme eingebaut. Dadurch wird die potentielle Gefahr nicht erkannt und die Alarmanlagen der betroffenen Systeme springen nicht an. So können sich Hacker unbemerkt Zugang zu Ihren Systemen verschaffen, Daten abgreifen oder eine Schadsoftware auf die Geräte platzieren.

Java ist die zweithäufig genutzte Programmiersprache. Zwar haben die Log4j-Entwickler bereits gehandelt und die Sicherheitslücke geschlossen, doch das sicherheitsrelevante Update muss jeder Softwarehersteller in seinen Produkten durchführen und es wiederum an die Endanwender weitergeben.

Es ist wahrlich ein Wettlauf gegen die Zeit. Schnelle Reaktion ist jetzt von allen Seiten gefragt, denn die Sicherheitslücke wird längst aktiv von Cyberkriminellen ausgenutzt, so BSI.

Wer ist betroffen?

In erster Linie werden Systeme angegriffen, die direkt aus dem Internet erreichbar sind. Dies sind z.B. Online-Shop-Systeme und Webseiten, jedoch auch über die Cloud bereitgestellte Anwendungen oder Portale, sofern diese in der Programmiersprache Java entwickelt sind.

Leider lässt sich die Sicherheitslücke auch in internen Systemen (z.B. Warenwirtschaftssysteme, Dokumentenmanagementsysteme, Telefonanlagen, interne Steuerungssysteme, Drucker, …) ausnutzen.

Laut BSI haben mehr als 140 Hersteller Log4j für ihre Software-Entwicklung eingesetzt. Bekannte Systeme, die von der Sicherheitslücke betroffen sind, sind u.a.: Apple, Amazon, Tesla, Google, Twitter, LinkedIn, VMWare, Cisco, Unifi, SAP und Webex.

Es gibt leider bislang keine vollständige Liste und es ist damit zu rechnen, dass die Liste in den nächsten Tagen, Wochen und Monaten noch deutlich länger wird. Die log4j-Bibliothek wird in vielen Produkten eingesetzt, theoretisch könnte sie auch in einem Gerät (z.B. einem Drucker) verwendet werden.

Was kann passieren?

Wird eine Applikation erfolgreich angegriffen, so hat der Angreifer – je nach Konfiguration der betroffenen Anwendung – in vielen Fällen vollständigen administrativen Zugriff auf den jeweiligen Server. Angreifer installieren dann häufig eine Hintertür auf dem attackierten System (oft als Shell oder Root Shell bezeichnet). Über diese Shell ist auch dann noch ein Zugriff möglich, wenn die Sicherheitslücke gestopft ist.

Es reicht daher nicht aus, wenn auf einem möglicherweise betroffenen System nur ein Sicherheitsupdate installiert wird. Über eine solche Shell können beliebige Aktionen im Netzwerk durchgeführt werden. Je nach Angreifer kann dies der Diebstahl von Kundendaten oder Betriebsgeheimnissen sein oder auch die komplette Verschlüsselung des Netzwerks mit anschließender Erpressung.

Wie kann ich mich schützen?

Diese Frage lässt sich nicht einfach pauschal beantworten, da diese Sicherheitslücke nicht einfach durch die Installation eines Sicherheitsupdates beseitigt werden kann, da die betroffene Bibliothek log4j erst durch den jeweiligen Software- oder Hardwarehersteller in ein eigenes Update integriert werden muss. Ein Virenschutz bzw. Endpoint-Security-Produkt kann Ihnen hier keinen umfassenden Schutz bieten, sondern ist nur einer von mehreren Bausteinen in einem Sicherheitskonzept.

Was sollte ich jetzt tun?

Zunächst einmal: Ruhe bewahren. Mit einer einfachen Google-Suche können Sie herausfinden, ob es von Ihrem Software- oder Serviceanbieter bereits Informationen zur Sicherheitslücke gibt. Hierfür suchen Sie einfach nach dem CVE-Code der Sicherheitslücke „CVE-2021-44228“ und dem Namen des Anbieters (z.B. „CVE-2021-44228 SAP“). Wenn der Anbieter bereits Informationen zur Schwachstelle veröffentlicht hat, sollten Sie diese finden.

Sollten Sie in den nächsten Tagen keine Informationen hierzu finden, sollten Sie den Anbieter direkt kontaktieren und sich am besten schriftlich bestätigen lassen, dass er die entsprechende Bibliothek nicht einsetzt.

Auch unabhängig von der aktuellen Situation gilt: Achten Sie darauf, dass die von Ihnen eingesetzte Hard- und Software aktuell ist. Hersteller prüfen für ältere Systeme in der Regel nicht, ob diese von einer Schwachstelle betroffen sind. Im schlimmsten Fall kann darüber Ihre gesamte IT unbrauchbar gemacht werden. Die IT ist sehr schnelllebig, daher empfehlen wir Ihnen, Software nie ohne aktiven Softwarepflegevertrag einzusetzen. Nur so ist ein sicherer Betrieb Ihrer Firmen-IT möglich.

Alle Informationen zum Thema werden stetig auf den Webseiten des BSI aktualisiert.

Grafik: Envato Elements / twenty20photos