Cyberkriminalität 14.12.2021, 07:49 Uhr

Sicherheitslücke Log4Shell: Was Sie jetzt umgehend machen müssen

Warnstufe Rot: Eine der bedrohlichsten Sicherheitslücken der letzten Jahre bedrohte im Dezember 2021 Server weltweit. Was für die Zukunft zu tun ist.

Mann und Frau hacken vor Bildschirmen

"Warnstufe Rot" für Anwender und Firmen. Doch was heißt das und wie können Sie sich jetzt gegen die Log4j-Lücke schützen?

Foto: panthermedia.net/NomadSoul

Unternehmen und auch Privatanwender müssen sich dringend mit einer gefährlichen Server-Schwachstelle namens “Log4Shell” auseinandersetzen. Sicherheitsexperten versuchen eine der bedrohlichsten Sicherheitslücken für Computer in den vergangenen Jahren zu schließen. Die Lücke in der Programmierumgebung Java gilt schon jetzt als der größte Hack in der Geschichte des Internets.

Woher kommt die Schwachstelle Log4Shell?

Die Bedrohung soll sich in einem Open-Source-Programm befinden, das weltweit von Unternehmen und Regierungen genutzt wird. Wer die Lücke ausnutzt, kann vollen Zugang zu Rechnern erhalten. Das ruft Kryptominer oder andere Schadsoftware auf den Plan. Drei Milliarden Geräte weltweit nutzen Java. Wie viele von ihnen verwundbar sind, ist aktuell noch nicht absehbar.

Stellenangebote im Bereich IT-Architektur

IT-Architektur Jobs
Deutsches Patent- und Markenamt-Firmenlogo
IT-Expertinnen / IT-Experten (w/m/div) Deutsches Patent- und Markenamt
München Zum Job 
Hays Professional Solutions GmbH-Firmenlogo
Solution Architekt (m/w/d) Hays Professional Solutions GmbH
Baden-Württemberg Zum Job 
Städtische Werke Netz + Service GmbH-Firmenlogo
IT-Ingenieur als Experte für Smart Metering (m/w/d) Städtische Werke Netz + Service GmbH
VALEO GmbH-Firmenlogo
System Architect - Customer Operations (m/f/d) - Lidar VALEO GmbH
Bietigheim-Bissingen Zum Job 
VALEO GmbH-Firmenlogo
Software Algorithmic Architect (m/f/d) VALEO GmbH
Bietigheim-Bissingen Zum Job 
VALEO GmbH-Firmenlogo
System Architect (m/f/d) - Lidar VALEO GmbH
Bietigheim-Bissingen Zum Job 
Airbus-Firmenlogo
Lead System Architect (d/f/m) - FCAS Combat Cloud Connectivity Airbus
Raum München Zum Job 
SCHUNK GmbH & Co. KG-Firmenlogo
Full Stack Entwickler (m/w/d) SCHUNK GmbH & Co. KG
Lauffen Zum Job 
SCHUNK GmbH & Co. KG-Firmenlogo
Entwicklungsingenieur Architektur und Requirements (m/w/d) SCHUNK GmbH & Co. KG
Lauffen Zum Job 
ait-deutschland GmbH-Firmenlogo
Systems und Requirements Ingenieur (m/w/d) ait-deutschland GmbH
Kasendorf Zum Job 
Airbus-Firmenlogo
System Engineer (d/f/m) OR Enterprise Architect (d/f/m) Airbus
Raum Hamburg Zum Job 
Airbus-Firmenlogo
Network System Architect FCAS (d/m/f) Airbus
Manching Zum Job 
SCHOTTEL GmbH-Firmenlogo
Softwareentwickler / Systemarchitekt (m/w/d) für Embedded Systems SCHOTTEL GmbH
KOLLMORGEN Europe GmbH-Firmenlogo
Senior Software Architect (m/w/d) KOLLMORGEN Europe GmbH
Ratingen Zum Job 
Airbus-Firmenlogo
Verantwortliche/r für Softwareentwicklung und Informationssicherheit (d/m/w) Airbus
Manching Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 

Log4Shell: Auch Corona-Warn-App kann betroffen sein

Woher kommt der Name Log4Shell?

Der Name der Cyberbedrohung bezieht sich auf die Tatsache, dass der ausgenutzte Fehler in einer beliebten Java-Codebibliothek namens Log4J (Logging for Java) enthalten ist. Wenn Angreifer diese Lücke ausnutzen, erhalten sie einen sogenannten Shell – also die Option, jeden Systemcode ihrer Wahl durchzuführen. Betroffen sind aktuell auch elektronische Anwaltspostfächer (BeA). Dieses ist nicht verfügbar, denn auch hier kommt Log4J zum Einsatz.

Cybersicherheit: Diese Skills brauchen Sie im Security-Team

Allerdings ist Log4Shell mehr als eine Sicherheitslücke. Es handelt sich um einen Programmierfehler, der hunderttausende weitere Lücken in Softwareprodukten und Geräten erzeugt. Der deutsche Sicherheitsforscher Florian Roth tweetet dazu:

Was ist die Java-Bibliothek Log4J?

“Log4J” ist ein Code, bei dem es sich um eine Protokollierungsbibliothek für Java-Anwendungen handelt. Diese gehört zu einer der meistverbreiteten Open-Source-Software (Apache). Damit werden Webserver im Internet betrieben.

 

Das Computer Emergency Rescue Team (CERT) der Deutschen Telekom meldet, dass bereits automatisierte Angriffe auf Server mit der entsprechenden Schwachstelle registriert wurden.

Wo ist die Sicherheitslücke zuerst aufgetreten?

Erste Anzeichen gab es bereits am Donnerstag. Auf Servern für das Online-Spiel „Minecraft“ traten Probleme auf. Auch bei Twitter, Amazon und Apples iCloud-Service sollen Cyberkriminelle am Wochenende versucht haben, die Schwachstelle auszunutzen. Das Gefährliche: Angreifer können theoretisch Daten vom Server selbst abfließen lassen. Interne Netzwerke werden ausgespät oder Daten auf dem Server verändert.

Cyberattacken: „Angriffe werden immer aggressiver“

Was Anwender jetzt tun müssen

Laut dem Bitkom-Präsident Achim Berg müssen betroffene Systeme identifiziert und umgehend Abwehrmaßnahmen getroffen werden. Cyberkriminelle versuchen bereits aktiv, neue Schwachstelle auszunutzen. Nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) führt die kritische Schwachstelle zu einer extrem kritischen Bedrohungslage.

„Wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) Samstagnacht die Warnstufe Rot ausruft, dann ist die Bedrohungslage ernst, sehr ernst. Mitte des Jahres führten bereits die Schwachstellen in lokalen Exchange Servern zu weltweiten Massen-Scans. Kriminelle suchten binnen Stunden auf der ganzen Welt nach verwundbaren Servern. Allein in Deutschland waren Unternehmen quer durch alle Branchen schlagartig angreifbar. Auch damals lautete die Einschätzung des BSI: Warnstufe Rot”, erklärt Berg.

Log4Shell in der weit verbreiteten Java-Bibliothek muss unbedingt ernst genommen werden. „Welt- und deutschlandweit erfolgen derzeit Massen-Scans sowie versuchte Kompromittierungen. Herstellerseitig muss schnellstmöglich in Erfahrung gebracht werden, wo überall die Java-Bibliothek zum Einsatz kommt und die Sicherheitsupdates entsprechend ausgerollt werden“, führt der Bitkom-Präsident aus.

Für Unternehmen gestaltet es sich schwierig, festzustellen ob Systeme angegriffen wurden. Antivirusprogramme können nicht wie bei klassischen Schadprogrammen nach Schadcode suchen. Wenn die Lücke ausgenutzt wurde, erscheint sie in Logdateien wie eine reguläre Programmfunktion. IT-Abteilungen sollten Back-ups wiederherstellen – im Idealfall von Ende November.

Cyberattacke auf Kaseya: Diese perfide Masche nutzen die Hacker

Tipps für Anwender:

  • Betroffene Stellen ausmachen
  • Abwehrmaßnahmen ergreifen
  • Hinweisen des BSI folgen
  • Alle verwundbaren Systeme auf eine Kompromittierung hin untersuchen
  • Potenzielle Einfallstore schließen
  • Detektions- und Reaktionsfähigkeiten erhöhen, um die eigenen Systeme überwachen zu können
  • Updates für einzelne Produkte einspielen, sobald diese verfügbar sind

FBI und NSA sprechen von erheblichem Risiko

Software-Anbieter Atlassian, der Dienste wie Jira, Confluence und Trello betreibt, prüft, ob eigene Produkte betroffen sein könnten. IT-Sicherheitsbeauftragte agieren im Wettlauf gegen die Cyberkriminaltität. Angreifer könnten mit Hilfe der Lücke unauffällige Hintertüren für sich einbauen, warnt Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. „“Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später.“

In den USA bildete die IT-Sicherheitsbehörde CISA am Samstag eine Arbeitsgruppe, zu der auch die Bundespolizei FBI und der Geheimdienst NSA gehören. „Diese Schwachstelle birgt ein erhebliches Risiko“, stellte die CISA fest.

Ransomware: So werden Sie Erpressungstrojaner wieder los

Update in der Java-Bibliothek

Für die betroffene Java-Bibliothek Log4J gibt es zwar ein Sicherheits-Update, allerdings müssen laut BSI alle Produkte, die Log4J verwenden, ebenfalls angepasst werden.

Da eine Java-Bibliothek ein Software-Modul ist, das Funktionalitäten auch in weiteren Produkten verwendet, ist es oftmals tief in der Architektur von Software-Produkten verankert.

Betrifft die Sicherheitslücke auch private Nutzer?

Es herrscht nicht nur Alarmstufe Rot bei Unternehmen, sondern auch privaten Nutzern. Das trifft zu, wenn Privatpersonen Cloud-Server nutzen, die von einem Hosting-Unternehmen oder einem anderen Managed-Service-Provider betrieben werden. Das heißt, auch Blogs oder Foren können gehackt sein. Hier heißt es zunächst, herauszufinden, ob der eigene Auftritt betroffen ist. Außerdem sollte auf offizielle Sicherheitswarnungen von verwendeten Online-Diensten im E-Mail-Postfach geachtet werden. Doch auch hier heißt es: Vorsicht! Trittbrettfahrer sind schon unterwegs.

Podcast-Tipp: Cybersecurity: Wie sicher sind unsere Netze?

Wie sicher sind unsere Netze in Deutschland? Haya Shulman, einer renommierten Expertin, gibt Einblicke im Podcast “Technik aufs Ohr”. Shulman wirkt am Fraunhofer-Institut für Sichere Informationstechnologie SIT und dem Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE in Darmstadt.

Hier wird Ihnen ein externer Inhalt von podigee.com angezeigt.

Mit der Nutzung des Inhalts stimmen Sie der Datenschutzerklärung von podigee.com zu.

Ein Beitrag von:

  • Sarah Janczura

    Sarah Janczura

    Sarah Janczura schreibt zu den Themen Technik, Forschung und Karriere. Nach einem Volontariat mit dem Schwerpunkt Social Media war sie als Online-Redakteurin in einer Digitalagentur unterwegs.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.