Sind Sie bereits Abonnent? Hier anmelden

 

Sind Sie bereits Abonnent? Hier anmelden

Log4j-Schwachstelle: „Wir werden es demnächst mit einer Welle von Erpressungsfällen zu tun haben“

Unternehmen in Deutschland sind wegen einer Warnung der IT-Sicherheitsbehörde BSI vor schwerwiegenden Hackerangriffen in Alarmbereitschaft.

Eine Sicherheitslücke auf einem weitverbreiteten Softwaremodul führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer „extrem kritischen Bedrohungslage“. Jürgen Schmidt, leitender Redakteur bei Heise Media, erklärt, welche Maßnahmen nun nötig sind und warum sie noch über Wochen und Monate für Arbeit sorgen wird.

Weiterlesen nach der Anzeige
Weiterlesen nach der Anzeige

Herr Schmidt, das Bundesamt für Sicherheit in der Informationstechnik hat am Samstag seine Warnstufe zu der aktuell entdeckten Sicherheitslücke von Orange auf Rot hochgesetzt. Ist inzwischen eine Entwarnung in Sicht?

Nein, im Gegenteil. Wir werden es demnächst mit einer Welle von Erpressungsfällen zu tun haben. Das Bundesamt für Sicherheit in der Informationstechnik hat richtig gehandelt, indem es vor allem die IT-Abteilungen warnt, ihre Daten schnellstmöglich aus der Schusslinie zu nehmen.

Weiterlesen nach der Anzeige
Weiterlesen nach der Anzeige

Was ist das für eine Sicherheitslücke – wo liegt die Schwachstelle?

Die Schwachstelle steckt in der Bibliothek mit dem Namen Log4j. Durch diese Sicherheitslücke können Angreifer unter Umständen ihren Softwarecode auf fremde Server aufspielen. Das Fatale: Die Lücke lässt sich denkbar einfach ausnutzen, und die Zahl der anfälligen Systeme ist unüberschaubar.

Wie öffnet sich diese Sicherheitslücke?

Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Serverbetrieb wie in einem Logbuch festzuhalten. Sie protokolliert die Dienste, zum Beispiel „Ich habe gerade mit Gerät X gesprochen“. Dabei kommt oft die Bibliothek Log4j zum Einsatz, die versucht, diesen Text zu interpretieren.

Wir werden es demnächst mit einer Welle von Erpressungsfällen zu tun haben.

Jürgen Schmidt von Heise Online

Wie wird die Schwachstelle dann aktiviert?

Weiterlesen nach der Anzeige
Weiterlesen nach der Anzeige

Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert wird. Im Hintergrund springt dann ein Mechanismus an, der versucht, die Zeichenkette zu verstehen. Sie kontaktiert dann ein externes System und führt dessen Befehle aus. So entsteht die Sicherheitslücke. Und deshalb heißt der Angriff auch Log4Shell, also „Logging, um einen direkten Zugriff aufs System zu erhalten“.

Jürgen Schmidt ist leitender Redakteur bei Heise Online.

Jürgen Schmidt ist leitender Redakteur bei Heise Online.

Welche Geräte sind davon betroffen?

Log4j ist im Bereich der Java-Software extrem weit verbreitet: Unternehmen wie Amazon, Apple iCloud oder Tesla, Verwaltungen, Buchungssysteme, unzählige große und kleine Firmen, die eine Infrastruktur nutzen, die auf Java basiert.

Das zentrale Problem ist die Infrastruktur der Unternehmen.

Wie bemerkt man, ob die Firma betroffen ist?

Weiterlesen nach der Anzeige
Weiterlesen nach der Anzeige

Einen Angriff wird man in der Regel erst erkennen, wenn es zu spät ist – also etwa eine Erpressungsforderung vorliegt. Aber vorher erkennt man das in der Regel nicht, der Angriff läuft im Hintergrund ab. Es sei denn, man hat seine Infrastruktur darauf vorbereitet, durch Monitoring gezielt Cyberangriffe zu erkennen.

Was kann man tun?

Es wird eine Welle von Sicherheitsupdates von den Softwareherstellern geben. Diese Updates sollte man schnellstmöglich installieren. Unabhängig davon rate ich dazu, selbst eine Bestandsaufnahme zu machen: Also zu schauen, welche meiner Software anfällig sein könnte – und dann gezielt beim Hersteller nachfragen, ob es ein Update gibt. Nicht zuletzt kann man natürlich auch selbst – oder mithilfe eines Experten – testen, ob man bereits Probleme entdecken kann.

Und Ihr Erste-Hilfe-Tipp?

Alle wichtigen Daten und Infos, die durch die aktuelle Schwachstelle nicht mehr sicher sind, sollte man aus der Schusslinie bringen! Wenn ein Dienst verwundbar ist, es aber noch keine Updates gibt, dann muss man Maßnahmen prüfen, wie man ihn aus der Schusslinie bringen kann. Dazu gehört abzuwägen, ob man den Zugang einschränkt oder den Dienst auch im Extremfall zeitweise einstellen sollte.

Weiterlesen nach der Anzeige
Weiterlesen nach der Anzeige

Müssen sich auch Privatpersonen Sorgen machen?

Auch Privatpersonen können betroffen sein. Smart-TVs, IoT-Geräte oder auch PC-Programme können anfällig sein – aber das zentrale Problem ist die Infrastruktur der Unternehmen.

Rechnen Sie mit einer schnellen Lösung?

Leider nicht. Es ist davon auszugehen, dass es die IT noch über Wochen und Monate hinweg beschäftigen wird. Zudem stehen bald erste Erpressungen durch Cybercrimebanden ins Haus, die über Log4Shell ins Firmennetz gekommen sind. Die Administratoren werden wohl bis nach Weihnachten damit tun haben.

Mehr aus Digital

Anzeige
Empfohlener redaktioneller Inhalt

An dieser Stelle finden Sie einen externen Inhalt von Outbrain UK Ltd, der den Artikel ergänzt. Sie können ihn sich mit einem Klick anzeigen lassen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unseren Datenschutzhinweisen.