Java-Bibliothek Log4j – eine Bilanz
Was war passiert?
In der Java-Bibliothek Log4j wurde Mitte Dezember 2021 die Schwachstelle "Log4Shell" entdeckt, die zu einer extrem kritischen Bedrohungslage führte. Die Situation war vor allem aus zwei Gründen besonders bedenklich:
- Log4j ist sehr weit verbreitet. Systemadministratoren und -administratorinnen sowie Programmierer und Programmiererinnen auf der ganzen Welt binden die Bibliothek aufgrund ihrer Funktionalität in Rechenzentren, Unternehmensserver, Netzwerktechnologien und Systemkomponenten ein.
- Die Sicherheitslücke war zu Beginn besonders leicht auszunutzen. Einmal im System konnten Angreifer beliebigen Programmcode ausführen, Schadsoftware nachladen oder Daten stehlen.
In Kombination führte dies zur potenziellen Verwundbarkeit von global mehreren Milliarden Computern. Das bedeutete auch, dass Produkte zahlreicher Internetkonzerne schwerwiegende Sicherheitslücken aufwiesen und zeitweise als unsicher galten. In der Zwischenzeit hat die Bedrohungslage abgenommen, da Updates bereitstehen und diese großteils auch installiert wurden, sodass das BSI die Warnstufe der Cyber-Sicherheitswarnung (CSW 2021-549177-1232) am 12.01.2022 von Rot auf Gelb herabsetzte. Hier geht es zu weiteren Hintergrundinformationen und einer Erklärung zur Funktion von Log4j.
Ist die Schwachstelle Log4Shell geschlossen?
Ja und nein. Zwar haben die Entwickler und Entwicklerinnen Updates bereitgestellt, die die Schwachstelle schließen. Jedoch sind seitdem Softwarehersteller und Serverbetreiber in der Pflicht, die aktualisierte Log4j-Bibliothek in ihre Produkte zu integrieren und ihre Systeme auf mögliche Ausnutzung zu prüfen.
Warnstufe gelb – was bedeutet das?
Mittlerweile stehen Updates der Entwickler und Entwicklerinnen bereit, die die Schwachstelle wirksam schließen können. Daher hat das BSI die Warnstufe der Cyber-Sicherheitswarnung am 12.01.2022 von Rot auf Gelb herabgesetzt. Aber nicht alle Dienstebetreiber und Softwareentwickler haben die nötigen Aktualisierungen vorgenommen, sodass die entsprechenden Systeme weiterhin verwundbar sein können. Außerdem verlangt die gegenwärtige Lage, dass Systeme und Server nach ihrem Update auf Unregelmäßigkeiten geprüft werden. Besteht der Verdacht, dass zum Beispiel Schadsoftware eingeschleust wurde, sollten Betroffene auf bestehende Sicherungskopien zurückgreifen.
Welche Auswirkungen hatte die Schwachstelle?
Der über die Weihnachtsferien befürchtete Anstieg von Sicherheitsvorfällen in Folge der Schwachstelle trat in Deutschland nicht ein. International dagegen waren Fälle zu beobachten, in denen Kriminelle die Schwachstelle ausgenutzt und Systeme erfolgreich angegriffen haben. Als direkte Folge wurden weltweit Systeme und Server heruntergefahren, Updates installiert oder auf Backups zurückgegriffen. Dadurch waren vereinzelt digitale Dienstleistungen zeitweise nicht verfügbar.
Jedoch wurden viele relevante Systeme schnell gepatched. Ist damit die Gefahr vorbei? Expertinnen und Experten rechnen mit langfristigen negativen Folgen insbesondere für Unternehmen jeder Größe. Kriminelle könnten die Zeit genutzt haben, um Backdoors und Brückenköpfe zu installieren. Bleiben diese unentdeckt, können Systeme im Nachgang z. B. ausgespäht, manipuliert und/oder verschlüsselt werden. Zukünftig könnten deshalb gegebenenfalls zahlreiche Sicherheitsvorfälle aus dem Infektionsvektor Log4j entspringen.
Weiterhin wichtig für Dienstebetreiber: Sollten Sie noch nicht jede betroffene Software auf eine Version mit neuester Log4j-Version aktualisiert haben, rät das BSI zur eiligen Installation der Updates und zur Überprüfung Ihrer Systeme auf mögliche Ausnutzung.
Weiterhin wichtig für Unternehmen:
- Sofern die Hersteller Ihrer IT, Ihrer Betriebssysteme oder Ihrer installierten Programme Updates zur Verfügung stellen, sollten Sie diese umgehend installieren.
- Unternehmen und Organisationen sollten außerdem langfristig ihre Wachsamkeit erhöhen und regelmäßig ihre Systeme nach Auffälligkeiten scannen.
Weiterhin wichtig für Verbraucherinnen und Verbraucher:
- Sofern die Hersteller Ihrer IT, Ihrer Betriebssysteme oder Ihrer installierten Programme Updates zur Verfügung stellen, sollten Sie diese umgehend installieren.
Grundsätzlich empfiehlt das BSI, einige Basistipps für mehr IT-Sicherheit zu beherzigen.