Sicherheitslücke 15.12.2021, 12:16 Uhr

Log4Shell: Auch Corona-Warn-App kann betroffen sein

Die fatale Log4J-Sicherheitslücke beschäftigt IT-Sicherheitsexperten seit Tagen. Auch Behörden-Server oder die Corona-Warn-App können betroffen sein. Die Schwachstelle werde bei Unternehmen schon jetzt breit genutzt, warnt das BSI.

Die Sicherheitslücke Log4Shell macht das Framework Log4J zum Einfallstor, Auch Behörden sind betroffen. Foto: Panthermedia.net/denisismagilov

Die Sicherheitslücke Log4Shell macht das Framework Log4J zum Einfallstor, Auch Behörden sind betroffen.

Foto: Panthermedia.net/denisismagilov

Es ist die vielleicht gravierendste Sicherheitslücke in der Geschichte des Internets: Log4Shell heißt das Problem, das seit Tagen Softwareunternehmen, Internetanbieter, Administratoren und Millionen Nutzer beschäftigt.

Im Kern geht es um das Framework Log4J, die zum Loggen von Anwendungsmeldungen in Java genutzt wird – zum Beispiel bei Benutzernamen-Eingabemasken. Dieses Framework kann ausgenutzt werden, um massiven Schaden in digitalen Systemen anzurichten und an vermeintlich sichere Daten zu gelangen.

Top Stellenangebote

Zur Jobbörse
Excellence AG-Firmenlogo
GreenTech Engineer (m/wd) Elektrotechnik Excellence AG
Großraum Essen Zum Job 
RICHARD WOLF GmbH-Firmenlogo
Konstrukteur (m/w/d) für medizinische Instrumente und Endoskope RICHARD WOLF GmbH
Knittlingen Zum Job 
Excellence AG-Firmenlogo
GreenTech Engineer (m/wd) Automatisierung Excellence AG
deutschlandweit Zum Job 
Excellence AG-Firmenlogo
GreenTech Engineer (m/wd) Verfahrenstechnik Excellence AG
deutschlandweit Zum Job 
Excellence AG-Firmenlogo
GreenTech Engineer (m/wd) Bauingenieurwesen Excellence AG
deutschlandweit Zum Job 
Max Wild GmbH-Firmenlogo
Bauleiter (m/w/d) Großprojekte Bereich Umspannwerke Max Wild GmbH
Berkheim Zum Job 
Max Wild GmbH-Firmenlogo
Bauleiter (m/w/d) Heavy Move Max Wild GmbH
Heidelberg Zum Job 
Excellence AG-Firmenlogo
GreenTech Engineer (m/w/d) Embedded Software Excellence AG
deutschlandweit Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) für Planung und Entwurf von Ingenieurbauwerken Die Autobahn GmbH des Bundes
Halle (Saale) Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Statiker & Prüfingenieur (w/m/d) für Ingenieurbauwerke im Straßenbau Die Autobahn GmbH des Bundes
Halle (Saale) Zum Job 
THOST Projektmanagement GmbH-Firmenlogo
Ingenieur*in / Wirtschaftsjurist*in (m/w/d) für Contract & Claimsmanagement in Immobilienprojekten THOST Projektmanagement GmbH
Pforzheim Zum Job 
EF Holding GmbH-Firmenlogo
Betriebsleiter (m/w/d) Stahlwerk EF Holding GmbH
Salzgitter Zum Job 
Hillenbrand-Firmenlogo
Elektrotechnikingenieur Hardwarekonstruktion (m/w/d) Hillenbrand
Weingarten Zum Job 
Hillenbrand-Firmenlogo
Inbetriebnahmeingenieur/-techniker (m/w/d) Verfahrenstechnik Hillenbrand
Stuttgart Zum Job 
Hillenbrand-Firmenlogo
Projektingenieur Forschung & Entwicklung (m/w/d) Hillenbrand
Weingarten Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Projektleiter/in Bau und Erhaltung im Bereich Ingenieurbau (w/m/d) Die Autobahn GmbH des Bundes
Freiburg Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur/in konstruktiver Ingenieurbau (w/m/d) Die Autobahn GmbH des Bundes
Stuttgart Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Projektleiter/in (w/m/d) Straßenbau Die Autobahn GmbH des Bundes
Freiburg Zum Job 
SWM GmbH-Firmenlogo
Senior Projektmanager*in Programme in der Mobilität (m/w/d) SWM GmbH
München Zum Job 
atmosfair-Firmenlogo
Business Developer / Negativ-Emissionen / technische CO2-Speicherung (m/w/d) atmosfair

Das Bundesamt für Sicherheit in der Informationstechnik hatte angesichts der Bedrohung am vergangenen Wochenende die Warnstufe Rot ausgegeben – sprich: Es ist wirklich ernst. Sind denn nun möglicherweise auch Ämter betroffen, bei denen empfindliche Daten von Bürgerinnen und Bürgern liegen? Und was sollten Nutzer jetzt unbedingt unternehmen? Wir haben erste Antworten beim BSI eingeholt.

Sind Behörden von der Sicherheitslücke betroffen?

“Ja. Bei einer Schwachstelle mit dieser Verbreitung ist auch die Bundesverwaltung insofern betroffen, als das für diese Schwachstelle verwundbare Systeme im Einsatz sind”, so ein Sprecher des BSI gegenüber ingenieur.de. Das BSI habe die betroffenen Behörden informiert und entsprechende Schutzmaßnahmen empfohlen.

Cybersicherheit: Diese Skills brauchen Sie im Security-Team

Ist die digitale Infrastruktur um die Corona-Warn-App betroffen?

Viele Millionen Menschen nutzen die Corona-Warn-App. Die hinterlegten Daten sind durchaus sensibel – und die App könnte unter Umständen auch als Einfallstor für weitere Daten-Abfragungen Unbefugter genutzt werden. Ist die Warn-App von der Sicherheitslücke betroffen? Das BSI schließt das zumindest nicht aus. Aber: “Für die digitale Infrastruktur der Corona-Warn-App wurden umgehend entsprechende Schutzmaßnahmen seitens der Betreiber getroffen”, so ein Sprecher. Es ist also davon auszugehen, dass etwaige Sicherheitslücken geschlossen sind.

Was sollten Privatanwender und Unternehmen jetzt tun?

Laut dem BSI sind Privatanwenderinnen und Privatanwender zwar weniger stark gefährdet als Unternehmen und Organisationen, sie sollten aber dennoch vorsichtig sein. “Beispielsweise könnte in IoT-Geräten die verwundbare Bibliothek zum Einsatz kommen. Sie sind zudem meist von den Herstellern ihrer Software-Produkte abhängig. Wichtig ist, Sicherheits-Updates unmittelbar einzuspielen, wenn sie vorliegen.” Weiterhin wird eine stetige Information empfohlen, zum Beispiel über die Webseiten des BSI.

Cyberattacken: „Angriffe werden immer aggressiver“

“Unternehmen und Organisationen sollten schnellstmöglich die vom BSI empfohlenen Schutzmaßnahmen umsetzen. Darüber hinaus sollten Detektions- und Reaktionsmöglichkeiten gestärkt werden. Wer dies nicht kann, sollte sich an entsprechende IT-Dienstleister wenden. Die Cyber-Sicherheitswarnung des BSI wird fortlaufend aktualisiert und ist unter www.bsi.bund.de abrufbar”, so ein Sprecher.

Allerdings warnen viele IT-Sicherheitsexperten: Auch Endnutzer können mindestens indirekt von Angriffen betroffen sein. Der wichtigste Hinweis: Nutzer sollten dringend ihr System aktuell halten und für alle Programme die neuesten Updates installieren.

Welche Folgen kann es haben, wenn Nutzer jetzt nicht handeln?

Das BSI warnt hier durchaus eindringlich. Es seien durchaus Fälle bekannt, in denen die Sicherheitslücke zum Einfallstor geworden ist. “Die Schwachstelle wird bereits jetzt breit ausgenutzt. Unternehmen und Organisationen, die nicht unmittelbar handeln, gehen ein großes Risiko ein”, so der BSI-Sprecher. Einige schwerwiegende Folgen werden wohl erst in einiger Zeit sichtbar. “Aktuell werden Infektionen mit Krypto-Minern, Botnetzen aber auch bereits Angriffswerkzeugen berichtet. Es ist damit zu rechnen, dass öffentlichkeitswirksame Vorfälle, etwa mit Ransomware, in wenigen Wochen und Monaten auftreten werden.”

Wie kann eine solch gravierende Lücke auftreten? Gab es zuvor keine Anzeichen? Und wie lässt sich das künftig vermeiden?

“Das BSI weist seit einigen Jahren darauf hin, dass durch die zunehmende Digitalisierung auch zunehmende Vernetzung und damit zunehmende Abhängigkeiten entstehen. Auch dadurch werden IT-Systeme immer komplexer. Die hier verwundbare Java-Bibliothek ist ein Computer-Programm, das in unzähligen IT-Produkten zum Einsatz kommt. Es ist dabei so tief in der Architektur dieser Produkte verankert, dass bis heute nicht abschließend klar ist, welche Produkte alle über diese Schwachstelle verwundbar sind. Noch dazu ist die Schwachstelle derart trivial ausnutzbar, dass keine aufwändigen Schadprogramme zum Einsatz kommen müssen”, so der Sprecher.

Ein Beitrag von:

  • Peter Sieben

    Peter Sieben schreibt über Forschung, Politik und Karrierethemen. Nach einem Volontariat bei der Funke Mediengruppe war er mehrere Jahre als Redakteur und Politik-Reporter in verschiedenen Ressorts von Tageszeitungen und Online-Medien unterwegs.

  • Sarah Janczura

    Sarah Janczura

    Sarah Janczura schreibt zu den Themen Technik, Forschung und Karriere. Nach einem Volontariat mit dem Schwerpunkt Social Media war sie als Online-Redakteurin in einer Digitalagentur unterwegs. Aktuell arbeitet sie als Referentin für Presse und Kommunikation beim VDI e.V.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.