Sicherheitslücke 15.12.2021, 12:16 Uhr

Log4Shell: Auch Corona-Warn-App kann betroffen sein

Die fatale Log4J-Sicherheitslücke beschäftigt IT-Sicherheitsexperten seit Tagen. Auch Behörden-Server oder die Corona-Warn-App können betroffen sein. Die Schwachstelle werde bei Unternehmen schon jetzt breit genutzt, warnt das BSI.

Die Sicherheitslücke Log4Shell macht das Framework Log4J zum Einfallstor, Auch Behörden sind betroffen. Foto: Panthermedia.net/denisismagilov

Die Sicherheitslücke Log4Shell macht das Framework Log4J zum Einfallstor, Auch Behörden sind betroffen.

Foto: Panthermedia.net/denisismagilov

Es ist die vielleicht gravierendste Sicherheitslücke in der Geschichte des Internets: Log4Shell heißt das Problem, das seit Tagen Softwareunternehmen, Internetanbieter, Administratoren und Millionen Nutzer beschäftigt.

Im Kern geht es um das Framework Log4J, die zum Loggen von Anwendungsmeldungen in Java genutzt wird – zum Beispiel bei Benutzernamen-Eingabemasken. Dieses Framework kann ausgenutzt werden, um massiven Schaden in digitalen Systemen anzurichten und an vermeintlich sichere Daten zu gelangen.

Top Stellenangebote

Zur Jobbörse
PFINDER KG-Firmenlogo
Produktentwickler (m/w/d) Zerstörungsfreie Werkstoffprüfung PFINDER KG
Böblingen Zum Job 
WTM ENGINEERS GMBH-Firmenlogo
BIM-Modeler (m/w/d) für den Bereich Ingenieurwasserbau WTM ENGINEERS GMBH
Hamburg, Kiel, Rostock Zum Job 
Hamamatsu Photonics Deutschland GmbH-Firmenlogo
Master / Diplom in Physik oder Elektrotechnik als Vertriebsingenieur/in für Bereich Analytical (m/w/d) Hamamatsu Photonics Deutschland GmbH
Herrsching am Ammersee Zum Job 
Ministerium für Wirtschaft, Verkehr, Arbeit, Technologie und Tourismus-Firmenlogo
Referentin/Referent (m/w/d) im Referat "Straßenbau" Ministerium für Wirtschaft, Verkehr, Arbeit, Technologie und Tourismus
Mercer Stendal GmbH-Firmenlogo
Betriebsingenieur Mechanik (m/w/d) Mercer Stendal GmbH
Arneburg Zum Job 
Hamburger Hochbahn AG-Firmenlogo
Techniker / Ingenieur Elektrotechnik Wartung / Instandhaltung (w/m/d) Hamburger Hochbahn AG
Hamburg Zum Job 
Städtisches Klinikum Dresden-Firmenlogo
Ingenieur (m/w/d) Technische Gebäudeausrüstung (TGA) Städtisches Klinikum Dresden
Dresden Zum Job 
Rohde & Schwarz Österreich GesmbH-Firmenlogo
Softwareentwickler (m/w/d) Embedded Systems Rohde & Schwarz Österreich GesmbH
Singapur, Stuttgart, Berlin, München Zum Job 
Carl Zeiss Meditec AG-Firmenlogo
Applikationsingenieur (m/w/x) Carl Zeiss Meditec AG
Carl Zeiss Meditec AG-Firmenlogo
Process Engineer (m/w/x) Carl Zeiss Meditec AG
Carl ZEISS MultiSEM-Firmenlogo
Entwicklungsingenieur Elektronik (m/w/x) Carl ZEISS MultiSEM
Oberkochen Zum Job 
Bundesamt für Bauwesen und Raumordnung (BBR)-Firmenlogo
Ingenieurinnen und Ingenieure (w/m/d) in den Fachrichtungen Elektro- bzw. Nachrichtentechnik Bundesamt für Bauwesen und Raumordnung (BBR)
Bundesamt für Bauwesen und Raumordnung (BBR)-Firmenlogo
Ingenieurinnen und Ingenieure (w/m/d) in den Fachrichtungen Versorgungstechnik und Gebäudeautomation Bundesamt für Bauwesen und Raumordnung (BBR)
THOST Projektmanagement GmbH-Firmenlogo
Projektkoordinator*in (m/w/d) Ladeinfrastruktur THOST Projektmanagement GmbH
Freiburg im Breisgau, Stuttgart, Karlsruhe, München, Mannheim Zum Job 
GEBHARDT Fördertechnik GmbH-Firmenlogo
Entwicklungsprojektleitung Robotik & Lagerfahrzeuge (m/w/d) GEBHARDT Fördertechnik GmbH
Sinsheim Zum Job 
GEBHARDT Fördertechnik GmbH-Firmenlogo
Team Lead Process- & Change-Management engineering department (m/w/d) GEBHARDT Fördertechnik GmbH
Sinsheim Zum Job 
Handtmann Systemtechnik GmbH & Co. KG-Firmenlogo
Qualitätsingenieur (m/w/d) Handtmann Systemtechnik GmbH & Co. KG
Biberach/Riss Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Projektingenieur Ingenieurbau (w/m/d) Die Autobahn GmbH des Bundes
München Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieurin oder Bauingenieur Planung (w/m/d) Die Autobahn GmbH des Bundes
Hannover Zum Job 
Stadtwerke Aalen GmbH-Firmenlogo
Asset-Management Koordinator*in Stadtwerke Aalen GmbH

Das Bundesamt für Sicherheit in der Informationstechnik hatte angesichts der Bedrohung am vergangenen Wochenende die Warnstufe Rot ausgegeben – sprich: Es ist wirklich ernst. Sind denn nun möglicherweise auch Ämter betroffen, bei denen empfindliche Daten von Bürgerinnen und Bürgern liegen? Und was sollten Nutzer jetzt unbedingt unternehmen? Wir haben erste Antworten beim BSI eingeholt.

Sind Behörden von der Sicherheitslücke betroffen?

“Ja. Bei einer Schwachstelle mit dieser Verbreitung ist auch die Bundesverwaltung insofern betroffen, als das für diese Schwachstelle verwundbare Systeme im Einsatz sind”, so ein Sprecher des BSI gegenüber ingenieur.de. Das BSI habe die betroffenen Behörden informiert und entsprechende Schutzmaßnahmen empfohlen.

Cybersicherheit: Diese Skills brauchen Sie im Security-Team

Ist die digitale Infrastruktur um die Corona-Warn-App betroffen?

Viele Millionen Menschen nutzen die Corona-Warn-App. Die hinterlegten Daten sind durchaus sensibel – und die App könnte unter Umständen auch als Einfallstor für weitere Daten-Abfragungen Unbefugter genutzt werden. Ist die Warn-App von der Sicherheitslücke betroffen? Das BSI schließt das zumindest nicht aus. Aber: “Für die digitale Infrastruktur der Corona-Warn-App wurden umgehend entsprechende Schutzmaßnahmen seitens der Betreiber getroffen”, so ein Sprecher. Es ist also davon auszugehen, dass etwaige Sicherheitslücken geschlossen sind.

Was sollten Privatanwender und Unternehmen jetzt tun?

Laut dem BSI sind Privatanwenderinnen und Privatanwender zwar weniger stark gefährdet als Unternehmen und Organisationen, sie sollten aber dennoch vorsichtig sein. “Beispielsweise könnte in IoT-Geräten die verwundbare Bibliothek zum Einsatz kommen. Sie sind zudem meist von den Herstellern ihrer Software-Produkte abhängig. Wichtig ist, Sicherheits-Updates unmittelbar einzuspielen, wenn sie vorliegen.” Weiterhin wird eine stetige Information empfohlen, zum Beispiel über die Webseiten des BSI.

Cyberattacken: „Angriffe werden immer aggressiver“

“Unternehmen und Organisationen sollten schnellstmöglich die vom BSI empfohlenen Schutzmaßnahmen umsetzen. Darüber hinaus sollten Detektions- und Reaktionsmöglichkeiten gestärkt werden. Wer dies nicht kann, sollte sich an entsprechende IT-Dienstleister wenden. Die Cyber-Sicherheitswarnung des BSI wird fortlaufend aktualisiert und ist unter www.bsi.bund.de abrufbar”, so ein Sprecher.

Allerdings warnen viele IT-Sicherheitsexperten: Auch Endnutzer können mindestens indirekt von Angriffen betroffen sein. Der wichtigste Hinweis: Nutzer sollten dringend ihr System aktuell halten und für alle Programme die neuesten Updates installieren.

Welche Folgen kann es haben, wenn Nutzer jetzt nicht handeln?

Das BSI warnt hier durchaus eindringlich. Es seien durchaus Fälle bekannt, in denen die Sicherheitslücke zum Einfallstor geworden ist. “Die Schwachstelle wird bereits jetzt breit ausgenutzt. Unternehmen und Organisationen, die nicht unmittelbar handeln, gehen ein großes Risiko ein”, so der BSI-Sprecher. Einige schwerwiegende Folgen werden wohl erst in einiger Zeit sichtbar. “Aktuell werden Infektionen mit Krypto-Minern, Botnetzen aber auch bereits Angriffswerkzeugen berichtet. Es ist damit zu rechnen, dass öffentlichkeitswirksame Vorfälle, etwa mit Ransomware, in wenigen Wochen und Monaten auftreten werden.”

Wie kann eine solch gravierende Lücke auftreten? Gab es zuvor keine Anzeichen? Und wie lässt sich das künftig vermeiden?

“Das BSI weist seit einigen Jahren darauf hin, dass durch die zunehmende Digitalisierung auch zunehmende Vernetzung und damit zunehmende Abhängigkeiten entstehen. Auch dadurch werden IT-Systeme immer komplexer. Die hier verwundbare Java-Bibliothek ist ein Computer-Programm, das in unzähligen IT-Produkten zum Einsatz kommt. Es ist dabei so tief in der Architektur dieser Produkte verankert, dass bis heute nicht abschließend klar ist, welche Produkte alle über diese Schwachstelle verwundbar sind. Noch dazu ist die Schwachstelle derart trivial ausnutzbar, dass keine aufwändigen Schadprogramme zum Einsatz kommen müssen”, so der Sprecher.

Ein Beitrag von:

  • Peter Sieben

    Peter Sieben schreibt über Forschung, Politik und Karrierethemen. Nach einem Volontariat bei der Funke Mediengruppe war er mehrere Jahre als Redakteur und Politik-Reporter in verschiedenen Ressorts von Tageszeitungen und Online-Medien unterwegs.

  • Sarah Janczura

    Sarah Janczura

    Sarah Janczura schreibt zu den Themen Technik, Forschung und Karriere. Nach einem Volontariat mit dem Schwerpunkt Social Media war sie als Online-Redakteurin in einer Digitalagentur unterwegs. Aktuell arbeitet sie als Referentin für Presse und Kommunikation beim VDI e.V.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.