Sicherheitslücke 15.12.2021, 12:16 Uhr

Log4Shell: Auch Corona-Warn-App kann betroffen sein

Die fatale Log4J-Sicherheitslücke beschäftigt IT-Sicherheitsexperten seit Tagen. Auch Behörden-Server oder die Corona-Warn-App können betroffen sein. Die Schwachstelle werde bei Unternehmen schon jetzt breit genutzt, warnt das BSI.

Die Sicherheitslücke Log4Shell macht das Framework Log4J zum Einfallstor, Auch Behörden sind betroffen. Foto: Panthermedia.net/denisismagilov

Die Sicherheitslücke Log4Shell macht das Framework Log4J zum Einfallstor, Auch Behörden sind betroffen.

Foto: Panthermedia.net/denisismagilov

Es ist die vielleicht gravierendste Sicherheitslücke in der Geschichte des Internets: Log4Shell heißt das Problem, das seit Tagen Softwareunternehmen, Internetanbieter, Administratoren und Millionen Nutzer beschäftigt.

Im Kern geht es um das Framework Log4J, die zum Loggen von Anwendungsmeldungen in Java genutzt wird – zum Beispiel bei Benutzernamen-Eingabemasken. Dieses Framework kann ausgenutzt werden, um massiven Schaden in digitalen Systemen anzurichten und an vermeintlich sichere Daten zu gelangen.

Das Bundesamt für Sicherheit in der Informationstechnik hatte angesichts der Bedrohung am vergangenen Wochenende die Warnstufe Rot ausgegeben – sprich: Es ist wirklich ernst. Sind denn nun möglicherweise auch Ämter betroffen, bei denen empfindliche Daten von Bürgerinnen und Bürgern liegen? Und was sollten Nutzer jetzt unbedingt unternehmen? Wir haben erste Antworten beim BSI eingeholt.

Sind Behörden von der Sicherheitslücke betroffen?

“Ja. Bei einer Schwachstelle mit dieser Verbreitung ist auch die Bundesverwaltung insofern betroffen, als das für diese Schwachstelle verwundbare Systeme im Einsatz sind”, so ein Sprecher des BSI gegenüber ingenieur.de. Das BSI habe die betroffenen Behörden informiert und entsprechende Schutzmaßnahmen empfohlen.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
DFS Deutsche Flugsicherung GmbH-Firmenlogo
Ingenieur* Site Reliability DFS Deutsche Flugsicherung GmbH
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
THU Technische Hochschule Ulm-Firmenlogo
W2-Professur "Technische Informatik" THU Technische Hochschule Ulm
Excellence AG-Firmenlogo
Entwicklungsingenieur KI (m/w/d) Excellence AG
Dortmund Zum Job 
Excellence AG-Firmenlogo
Embedded Software Entwickler (m/w/d) Excellence AG
Dortmund Zum Job 
K. A. Schmersal GmbH & Co. KG-Firmenlogo
IT Security und Compliance Manager (m/w/d) K. A. Schmersal GmbH & Co. KG
Wuppertal Zum Job 
K. A. Schmersal GmbH & Co. KG-Firmenlogo
System/Solution Architekt (m/w/d) mit Schwerpunkt Entwicklung SAP K. A. Schmersal GmbH & Co. KG
Wuppertal Zum Job 
Jungheinrich Norderstedt AG & Co. KG-Firmenlogo
Projektleiter Entwicklung Embedded Software (m/w/d) Batterien und Ladegeräte Jungheinrich Norderstedt AG & Co. KG
Norderstedt Zum Job 
KNDS Deutschland GmbH & Co. KG-Firmenlogo
Technischer Projektleiter (m/w/d) Panzerhaubitze 2000 KNDS Deutschland GmbH & Co. KG
KNDS Deutschland GmbH & Co. KG-Firmenlogo
Softwareentwickler (m/w/d) Embedded Systems KNDS Deutschland GmbH & Co. KG
thyssenkrupp AG-Firmenlogo
Trainee Automatisierung Bochum (m/w/d) thyssenkrupp AG
Flowserve Corporation-Firmenlogo
Trainee Operations (m/w/d) mit dem Schwerpunkt Prozessoptimierung und Digitalisierung Flowserve Corporation
Dortmund Zum Job 
AGR Betriebsführung GmbH-Firmenlogo
Ingenieur Leittechnik (m/w/d) AGR Betriebsführung GmbH
Hallesche Wasser und Stadtwirtschaft GmbH-Firmenlogo
IT Projektmanager / Key User - Prozessoptimierung, E-Commerce & Vertrieb (m/w/d) Hallesche Wasser und Stadtwirtschaft GmbH
Halle (Saale) Zum Job 
POLYVANTIS GmbH-Firmenlogo
Ingenieur / Techniker Elektrotechnik / Automatisierungstechnik (m/w/d) OT, Messsysteme (m/w/d) POLYVANTIS GmbH
Weiterstadt Zum Job 
Bundeswehr-Firmenlogo
Ingenieurin / Ingenieur mit Master in Informatik / Elektrotechnik - Beamten - Ausbildung (m/w/d) Bundeswehr
Mannheim Zum Job 
Stadt Worms-Firmenlogo
Projektleiter (m/w/d) CAFM Stadt Worms
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) C-ITS Entwicklung Die Autobahn GmbH des Bundes
Frankfurt am Main Zum Job 
Recogizer-Firmenlogo
Projektingenieur (m/w/d) KI-gestützte CO2-Reduktion Recogizer
Recogizer-Firmenlogo
Projektingenieur (m/w/d) KI-gestützte CO2-Reduktion Recogizer

Cybersicherheit: Diese Skills brauchen Sie im Security-Team

Ist die digitale Infrastruktur um die Corona-Warn-App betroffen?

Viele Millionen Menschen nutzen die Corona-Warn-App. Die hinterlegten Daten sind durchaus sensibel – und die App könnte unter Umständen auch als Einfallstor für weitere Daten-Abfragungen Unbefugter genutzt werden. Ist die Warn-App von der Sicherheitslücke betroffen? Das BSI schließt das zumindest nicht aus. Aber: “Für die digitale Infrastruktur der Corona-Warn-App wurden umgehend entsprechende Schutzmaßnahmen seitens der Betreiber getroffen”, so ein Sprecher. Es ist also davon auszugehen, dass etwaige Sicherheitslücken geschlossen sind.

Was sollten Privatanwender und Unternehmen jetzt tun?

Laut dem BSI sind Privatanwenderinnen und Privatanwender zwar weniger stark gefährdet als Unternehmen und Organisationen, sie sollten aber dennoch vorsichtig sein. “Beispielsweise könnte in IoT-Geräten die verwundbare Bibliothek zum Einsatz kommen. Sie sind zudem meist von den Herstellern ihrer Software-Produkte abhängig. Wichtig ist, Sicherheits-Updates unmittelbar einzuspielen, wenn sie vorliegen.” Weiterhin wird eine stetige Information empfohlen, zum Beispiel über die Webseiten des BSI.

Cyberattacken: „Angriffe werden immer aggressiver“

“Unternehmen und Organisationen sollten schnellstmöglich die vom BSI empfohlenen Schutzmaßnahmen umsetzen. Darüber hinaus sollten Detektions- und Reaktionsmöglichkeiten gestärkt werden. Wer dies nicht kann, sollte sich an entsprechende IT-Dienstleister wenden. Die Cyber-Sicherheitswarnung des BSI wird fortlaufend aktualisiert und ist unter www.bsi.bund.de abrufbar”, so ein Sprecher.

Allerdings warnen viele IT-Sicherheitsexperten: Auch Endnutzer können mindestens indirekt von Angriffen betroffen sein. Der wichtigste Hinweis: Nutzer sollten dringend ihr System aktuell halten und für alle Programme die neuesten Updates installieren.

Welche Folgen kann es haben, wenn Nutzer jetzt nicht handeln?

Das BSI warnt hier durchaus eindringlich. Es seien durchaus Fälle bekannt, in denen die Sicherheitslücke zum Einfallstor geworden ist. “Die Schwachstelle wird bereits jetzt breit ausgenutzt. Unternehmen und Organisationen, die nicht unmittelbar handeln, gehen ein großes Risiko ein”, so der BSI-Sprecher. Einige schwerwiegende Folgen werden wohl erst in einiger Zeit sichtbar. “Aktuell werden Infektionen mit Krypto-Minern, Botnetzen aber auch bereits Angriffswerkzeugen berichtet. Es ist damit zu rechnen, dass öffentlichkeitswirksame Vorfälle, etwa mit Ransomware, in wenigen Wochen und Monaten auftreten werden.”

Wie kann eine solch gravierende Lücke auftreten? Gab es zuvor keine Anzeichen? Und wie lässt sich das künftig vermeiden?

“Das BSI weist seit einigen Jahren darauf hin, dass durch die zunehmende Digitalisierung auch zunehmende Vernetzung und damit zunehmende Abhängigkeiten entstehen. Auch dadurch werden IT-Systeme immer komplexer. Die hier verwundbare Java-Bibliothek ist ein Computer-Programm, das in unzähligen IT-Produkten zum Einsatz kommt. Es ist dabei so tief in der Architektur dieser Produkte verankert, dass bis heute nicht abschließend klar ist, welche Produkte alle über diese Schwachstelle verwundbar sind. Noch dazu ist die Schwachstelle derart trivial ausnutzbar, dass keine aufwändigen Schadprogramme zum Einsatz kommen müssen”, so der Sprecher.

Ein Beitrag von:

  • Peter Sieben

    Peter Sieben schreibt über Forschung, Politik und Karrierethemen. Nach einem Volontariat bei der Funke Mediengruppe war er mehrere Jahre als Redakteur und Politik-Reporter in verschiedenen Ressorts von Tageszeitungen und Online-Medien unterwegs.

  • Sarah Janczura

    Sarah Janczura

    Sarah Janczura schreibt zu den Themen Technik, Forschung und Karriere. Nach einem Volontariat mit dem Schwerpunkt Social Media war sie als Online-Redakteurin in einer Digitalagentur unterwegs. Aktuell arbeitet sie als Referentin für Presse und Kommunikation beim VDI e.V.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.