Sicherheitslücke 15.12.2021, 12:16 Uhr

Log4Shell: Auch Corona-Warn-App kann betroffen sein

Die fatale Log4J-Sicherheitslücke beschäftigt IT-Sicherheitsexperten seit Tagen. Auch Behörden-Server oder die Corona-Warn-App können betroffen sein. Die Schwachstelle werde bei Unternehmen schon jetzt breit genutzt, warnt das BSI.

Die Sicherheitslücke Log4Shell macht das Framework Log4J zum Einfallstor, Auch Behörden sind betroffen. Foto: Panthermedia.net/denisismagilov

Die Sicherheitslücke Log4Shell macht das Framework Log4J zum Einfallstor, Auch Behörden sind betroffen.

Foto: Panthermedia.net/denisismagilov

Es ist die vielleicht gravierendste Sicherheitslücke in der Geschichte des Internets: Log4Shell heißt das Problem, das seit Tagen Softwareunternehmen, Internetanbieter, Administratoren und Millionen Nutzer beschäftigt.

Im Kern geht es um das Framework Log4J, die zum Loggen von Anwendungsmeldungen in Java genutzt wird – zum Beispiel bei Benutzernamen-Eingabemasken. Dieses Framework kann ausgenutzt werden, um massiven Schaden in digitalen Systemen anzurichten und an vermeintlich sichere Daten zu gelangen.

Top Stellenangebote

Zur Jobbörse
Airbus-Firmenlogo
Program Certification Engineering (d/m/f) Airbus
Manching Zum Job 
INOTEC GmbH-Firmenlogo
Projektleiter (m/w/d) Nahrungsmittelindustrie INOTEC GmbH
Reutlingen Zum Job 
Bühler Motor GmbH-Firmenlogo
Entwicklungsingenieur (m/w/d) Vorentwicklung - Mechatronische Systeme Bühler Motor GmbH
Nürnberg Zum Job 
Dohm Pharmaceutical Engineering-Firmenlogo
Projektingenieur (m/w/d) Verfahrenstechnik, Pharmatechnik Dohm Pharmaceutical Engineering
Mannheim Zum Job 
Dohm Pharmaceutical Engineering-Firmenlogo
Prüfingenieure (m/w/d) Dohm Pharmaceutical Engineering
Ulm, Ludwigshafen am Rhein Zum Job 
MAXIMATOR GmbH-Firmenlogo
Vertriebsingenieur / Sales Engineer (m/w/d) Schwerpunkt Wasserstofftechnik MAXIMATOR GmbH
Sinsheim Zum Job 
Dohm Pharmaceutical Engineering-Firmenlogo
Ingenieur Verfahrenstechnik, Pharmatechnik, Prozesstechnik, TGA, Bauwesen (m/w/d) Dohm Pharmaceutical Engineering
Leverkusen Zum Job 
ASK GmbH-Firmenlogo
Ingenieur / Techniker (m/w/d) im Bereich Automatisierung und Steuerungstechnik ASK GmbH
Wolfenbüttel bei Braunschweig Zum Job 
RheinEnergie-Firmenlogo
Gruppenleiter Maschinen- und Verfahrenstechnik (m/w/d) RheinEnergie
Köln (Niehl) Zum Job 
WACKER-Firmenlogo
Procurement Manager (m/w/d) CSA / Bauleistungen WACKER
Burghausen Zum Job 
EUROVIA Verkehrsbau Union GmbH-Firmenlogo
Bauleiter (m/w/d) für den Bereich Straßen- und Tiefbau EUROVIA Verkehrsbau Union GmbH
Berlin, Michendorf Zum Job 
Eurovia Verkehrsbau Union GmbH-Firmenlogo
Bauleiter (m/w/d) für den Bereich Asphaltstraßenbau Eurovia Verkehrsbau Union GmbH
Berlin, Michendorf Zum Job 
agap2 - HIQ Consulting GmbH-Firmenlogo
Junior Technical Business Manager (m/w/d) agap2 - HIQ Consulting GmbH
Frankfurt am Main, München, Mannheim Zum Job 
agap2 - HIQ Consulting GmbH-Firmenlogo
Projektingenieur:in Automatisierungs- & Elektrotechnik agap2 - HIQ Consulting GmbH
Mannheim, Frankfurt oder München Zum Job 
DEKRA Automobil GmbH-Firmenlogo
Bausachverständiger Immobilien (m/w/d) DEKRA Automobil GmbH
agap2 - HIQ Consulting GmbH-Firmenlogo
Testingenieur:in Mechatronik & Elektrotechnik agap2 - HIQ Consulting GmbH
Großraum Frankfurt am Main, Mannheim oder München Zum Job 
DEKRA Automobil GmbH-Firmenlogo
Experte Digitale Markenführung (m/w/d) DEKRA Automobil GmbH
Stuttgart Zum Job 
DEKRA Automobil GmbH-Firmenlogo
SAP & Salesforce Service Manager (m/w/d) DEKRA Automobil GmbH
Stuttgart Zum Job 
DEKRA Automobil GmbH-Firmenlogo
Sachverständiger Umweltschutz & Emission (m/w/d) DEKRA Automobil GmbH
Karlsruhe Zum Job 
DEKRA Automobil GmbH-Firmenlogo
Fachkraft Arbeitssicherheit & Gesundheit (m/w/d) DEKRA Automobil GmbH
Oberfranken, Oberpfalz Zum Job 

Das Bundesamt für Sicherheit in der Informationstechnik hatte angesichts der Bedrohung am vergangenen Wochenende die Warnstufe Rot ausgegeben – sprich: Es ist wirklich ernst. Sind denn nun möglicherweise auch Ämter betroffen, bei denen empfindliche Daten von Bürgerinnen und Bürgern liegen? Und was sollten Nutzer jetzt unbedingt unternehmen? Wir haben erste Antworten beim BSI eingeholt.

Sind Behörden von der Sicherheitslücke betroffen?

“Ja. Bei einer Schwachstelle mit dieser Verbreitung ist auch die Bundesverwaltung insofern betroffen, als das für diese Schwachstelle verwundbare Systeme im Einsatz sind”, so ein Sprecher des BSI gegenüber ingenieur.de. Das BSI habe die betroffenen Behörden informiert und entsprechende Schutzmaßnahmen empfohlen.

Cybersicherheit: Diese Skills brauchen Sie im Security-Team

Ist die digitale Infrastruktur um die Corona-Warn-App betroffen?

Viele Millionen Menschen nutzen die Corona-Warn-App. Die hinterlegten Daten sind durchaus sensibel – und die App könnte unter Umständen auch als Einfallstor für weitere Daten-Abfragungen Unbefugter genutzt werden. Ist die Warn-App von der Sicherheitslücke betroffen? Das BSI schließt das zumindest nicht aus. Aber: “Für die digitale Infrastruktur der Corona-Warn-App wurden umgehend entsprechende Schutzmaßnahmen seitens der Betreiber getroffen”, so ein Sprecher. Es ist also davon auszugehen, dass etwaige Sicherheitslücken geschlossen sind.

Was sollten Privatanwender und Unternehmen jetzt tun?

Laut dem BSI sind Privatanwenderinnen und Privatanwender zwar weniger stark gefährdet als Unternehmen und Organisationen, sie sollten aber dennoch vorsichtig sein. “Beispielsweise könnte in IoT-Geräten die verwundbare Bibliothek zum Einsatz kommen. Sie sind zudem meist von den Herstellern ihrer Software-Produkte abhängig. Wichtig ist, Sicherheits-Updates unmittelbar einzuspielen, wenn sie vorliegen.” Weiterhin wird eine stetige Information empfohlen, zum Beispiel über die Webseiten des BSI.

Cyberattacken: „Angriffe werden immer aggressiver“

“Unternehmen und Organisationen sollten schnellstmöglich die vom BSI empfohlenen Schutzmaßnahmen umsetzen. Darüber hinaus sollten Detektions- und Reaktionsmöglichkeiten gestärkt werden. Wer dies nicht kann, sollte sich an entsprechende IT-Dienstleister wenden. Die Cyber-Sicherheitswarnung des BSI wird fortlaufend aktualisiert und ist unter www.bsi.bund.de abrufbar”, so ein Sprecher.

Allerdings warnen viele IT-Sicherheitsexperten: Auch Endnutzer können mindestens indirekt von Angriffen betroffen sein. Der wichtigste Hinweis: Nutzer sollten dringend ihr System aktuell halten und für alle Programme die neuesten Updates installieren.

Welche Folgen kann es haben, wenn Nutzer jetzt nicht handeln?

Das BSI warnt hier durchaus eindringlich. Es seien durchaus Fälle bekannt, in denen die Sicherheitslücke zum Einfallstor geworden ist. “Die Schwachstelle wird bereits jetzt breit ausgenutzt. Unternehmen und Organisationen, die nicht unmittelbar handeln, gehen ein großes Risiko ein”, so der BSI-Sprecher. Einige schwerwiegende Folgen werden wohl erst in einiger Zeit sichtbar. “Aktuell werden Infektionen mit Krypto-Minern, Botnetzen aber auch bereits Angriffswerkzeugen berichtet. Es ist damit zu rechnen, dass öffentlichkeitswirksame Vorfälle, etwa mit Ransomware, in wenigen Wochen und Monaten auftreten werden.”

Wie kann eine solch gravierende Lücke auftreten? Gab es zuvor keine Anzeichen? Und wie lässt sich das künftig vermeiden?

“Das BSI weist seit einigen Jahren darauf hin, dass durch die zunehmende Digitalisierung auch zunehmende Vernetzung und damit zunehmende Abhängigkeiten entstehen. Auch dadurch werden IT-Systeme immer komplexer. Die hier verwundbare Java-Bibliothek ist ein Computer-Programm, das in unzähligen IT-Produkten zum Einsatz kommt. Es ist dabei so tief in der Architektur dieser Produkte verankert, dass bis heute nicht abschließend klar ist, welche Produkte alle über diese Schwachstelle verwundbar sind. Noch dazu ist die Schwachstelle derart trivial ausnutzbar, dass keine aufwändigen Schadprogramme zum Einsatz kommen müssen”, so der Sprecher.

Ein Beitrag von:

  • Peter Sieben

    Peter Sieben schreibt über Forschung, Politik und Karrierethemen. Nach einem Volontariat bei der Funke Mediengruppe war er mehrere Jahre als Redakteur und Politik-Reporter in verschiedenen Ressorts von Tageszeitungen und Online-Medien unterwegs.

  • Sarah Janczura

    Sarah Janczura

    Sarah Janczura schreibt zu den Themen Technik, Forschung und Karriere. Nach einem Volontariat mit dem Schwerpunkt Social Media war sie als Online-Redakteurin in einer Digitalagentur unterwegs.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.