Sicherheitslücke Log4Shell: Was Sie jetzt umgehend machen müssen

Unternehmen und auch Privatanwender müssen sich dringend mit einer gefährlichen Server-Schwachstelle namens “Log4Shell” auseinandersetzen. Sicherheitsexperten versuchen eine der bedrohlichsten Sicherheitslücken für Computer in den vergangenen Jahren zu schließen. Die Lücke in der Programmierumgebung Java gilt schon jetzt als der größte Hack in der Geschichte des Internets.

Woher kommt die Schwachstelle Log4Shell?

Die Bedrohung soll sich in einem Open-Source-Programm befinden, das weltweit von Unternehmen und Regierungen genutzt wird. Wer die Lücke ausnutzt, kann vollen Zugang zu Rechnern erhalten. Das ruft Kryptominer oder andere Schadsoftware auf den Plan. Drei Milliarden Geräte weltweit nutzen Java. Wie viele von ihnen verwundbar sind, ist aktuell noch nicht absehbar.

Log4Shell: Auch Corona-Warn-App kann betroffen sein

Woher kommt der Name Log4Shell?

Der Name der Cyberbedrohung bezieht sich auf die Tatsache, dass der ausgenutzte Fehler in einer beliebten Java-Codebibliothek namens Log4J (Logging for Java) enthalten ist. Wenn Angreifer diese Lücke ausnutzen, erhalten sie einen sogenannten Shell – also die Option, jeden Systemcode ihrer Wahl durchzuführen. Betroffen sind aktuell auch elektronische Anwaltspostfächer (BeA). Dieses ist nicht verfügbar, denn auch hier kommt Log4J zum Einsatz.

Cybersicherheit: Diese Skills brauchen Sie im Security-Team

Allerdings ist Log4Shell mehr als eine Sicherheitslücke. Es handelt sich um einen Programmierfehler, der hunderttausende weitere Lücken in Softwareprodukten und Geräten erzeugt. Der deutsche Sicherheitsforscher Florian Roth tweetet dazu:

Was ist die Java-Bibliothek Log4J?

“Log4J” ist ein Code, bei dem es sich um eine Protokollierungsbibliothek für Java-Anwendungen handelt. Diese gehört zu einer der meistverbreiteten Open-Source-Software (Apache). Damit werden Webserver im Internet betrieben.

 

Das Computer Emergency Rescue Team (CERT) der Deutschen Telekom meldet, dass bereits automatisierte Angriffe auf Server mit der entsprechenden Schwachstelle registriert wurden.

Wo ist die Sicherheitslücke zuerst aufgetreten?

Erste Anzeichen gab es bereits am Donnerstag. Auf Servern für das Online-Spiel „Minecraft“ traten Probleme auf. Auch bei Twitter, Amazon und Apples iCloud-Service sollen Cyberkriminelle am Wochenende versucht haben, die Schwachstelle auszunutzen. Das Gefährliche: Angreifer können theoretisch Daten vom Server selbst abfließen lassen. Interne Netzwerke werden ausgespät oder Daten auf dem Server verändert.

Cyberattacken: „Angriffe werden immer aggressiver“

Was Anwender jetzt tun müssen

Laut dem Bitkom-Präsident Achim Berg müssen betroffene Systeme identifiziert und umgehend Abwehrmaßnahmen getroffen werden. Cyberkriminelle versuchen bereits aktiv, neue Schwachstelle auszunutzen. Nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) führt die kritische Schwachstelle zu einer extrem kritischen Bedrohungslage.

„Wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) Samstagnacht die Warnstufe Rot ausruft, dann ist die Bedrohungslage ernst, sehr ernst. Mitte des Jahres führten bereits die Schwachstellen in lokalen Exchange Servern zu weltweiten Massen-Scans. Kriminelle suchten binnen Stunden auf der ganzen Welt nach verwundbaren Servern. Allein in Deutschland waren Unternehmen quer durch alle Branchen schlagartig angreifbar. Auch damals lautete die Einschätzung des BSI: Warnstufe Rot”, erklärt Berg.

Log4Shell in der weit verbreiteten Java-Bibliothek muss unbedingt ernst genommen werden. „Welt- und deutschlandweit erfolgen derzeit Massen-Scans sowie versuchte Kompromittierungen. Herstellerseitig muss schnellstmöglich in Erfahrung gebracht werden, wo überall die Java-Bibliothek zum Einsatz kommt und die Sicherheitsupdates entsprechend ausgerollt werden“, führt der Bitkom-Präsident aus.

Für Unternehmen gestaltet es sich schwierig, festzustellen ob Systeme angegriffen wurden. Antivirusprogramme können nicht wie bei klassischen Schadprogrammen nach Schadcode suchen. Wenn die Lücke ausgenutzt wurde, erscheint sie in Logdateien wie eine reguläre Programmfunktion. IT-Abteilungen sollten Back-ups wiederherstellen – im Idealfall von Ende November.

Cyberattacke auf Kaseya: Diese perfide Masche nutzen die Hacker

Tipps für Anwender:

• Betroffene Stellen ausmachen
• Abwehrmaßnahmen ergreifen
• Hinweisen des BSI folgen
• Alle verwundbaren Systeme auf eine Kompromittierung hin untersuchen
• Potenzielle Einfallstore schließen
• Detektions- und Reaktionsfähigkeiten erhöhen, um die eigenen Systeme überwachen zu können
• Updates für einzelne Produkte einspielen, sobald diese verfügbar sind

FBI und NSA sprechen von erheblichem Risiko

Software-Anbieter Atlassian, der Dienste wie Jira, Confluence und Trello betreibt, prüft, ob eigene Produkte betroffen sein könnten. IT-Sicherheitsbeauftragte agieren im Wettlauf gegen die Cyberkriminaltität. Angreifer könnten mit Hilfe der Lücke unauffällige Hintertüren für sich einbauen, warnt Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. „“Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später.“

In den USA bildete die IT-Sicherheitsbehörde CISA am Samstag eine Arbeitsgruppe, zu der auch die Bundespolizei FBI und der Geheimdienst NSA gehören. „Diese Schwachstelle birgt ein erhebliches Risiko“, stellte die CISA fest.

Ransomware: So werden Sie Erpressungstrojaner wieder los

Update in der Java-Bibliothek

Für die betroffene Java-Bibliothek Log4J gibt es zwar ein Sicherheits-Update, allerdings müssen laut BSI alle Produkte, die Log4J verwenden, ebenfalls angepasst werden.

Da eine Java-Bibliothek ein Software-Modul ist, das Funktionalitäten auch in weiteren Produkten verwendet, ist es oftmals tief in der Architektur von Software-Produkten verankert.

Betrifft die Sicherheitslücke auch private Nutzer?

Es herrscht nicht nur Alarmstufe Rot bei Unternehmen, sondern auch privaten Nutzern. Das trifft zu, wenn Privatpersonen Cloud-Server nutzen, die von einem Hosting-Unternehmen oder einem anderen Managed-Service-Provider betrieben werden. Das heißt, auch Blogs oder Foren können gehackt sein. Hier heißt es zunächst, herauszufinden, ob der eigene Auftritt betroffen ist. Außerdem sollte auf offizielle Sicherheitswarnungen von verwendeten Online-Diensten im E-Mail-Postfach geachtet werden. Doch auch hier heißt es: Vorsicht! Trittbrettfahrer sind schon unterwegs.

Podcast-Tipp: Cybersecurity: Wie sicher sind unsere Netze?

Wie sicher sind unsere Netze in Deutschland? Haya Shulman, einer renommierten Expertin, gibt Einblicke im Podcast “Technik aufs Ohr”. Shulman wirkt am Fraunhofer-Institut für Sichere Informationstechnologie SIT und dem Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE in Darmstadt.