Sicherheitslücke Log4Shell: Warnstufe Rot
Die Sicherheitslücke Log4jShell gefährdet weltweit Millionen Online-Anwendungen und Apps. Nicht wenige warnen vor drastischen Folgen.
Die Bibliothek Log4j ist Open Source, also kostenfrei und ohne Lizenzgebühren nutzbar. Daher machen es sich Nutzer:innen oft einfach und verwenden die Software ohne zusätzliche Sicherheitsmaßnahmen. Was allerdings bedeutet, dass Hacker:innen schnell Zugang zum System bekommen können. Denn Angreifer:innen können ihren eigenen Code in die Software einsetzen und somit das System vollständig übernehmen. Mittlerweile ist dafür sogar ein eigenes Programm online verfügbar, das den Angriffsweg demonstriert. Hacking für Anfänger:innen sozusagen.
Log4j wird weltweit genutzt: Apple nutzt es für seinen Speicherdienst iCloud, genauso wie das Onlinespiel Minecraft, Twitter, Amazon oder auch der Elektroautohersteller Tesla. Auch das besondere elektronische Anwaltspostfach (beA), mit welchem Rechtsanwält:innen ihre Dokumente an deutsche Gerichte übermitteln müssen, musste außer Betrieb genommen werden. Dort wird nun wieder gefaxt. In unserem Pandemiealltag kommt Log4j oft zum Einsatz: Häufig wird es dazu verwendet, den WLAN-Zugang zu verwalten. Kein Wunder also, dass das BSI am Samstagabend die Warnstufe Rot ausgerufen hat, für eine „extrem kritische IT-Sicherheitslage“.
Keine schönen Aussichten
Viele empfinden die Lage als noch dramatischer. Der Chef der IT-Sicherheitsfirma Tenable, Amit Yorant, meint, es handele sich um die „schlimmste Sicherheitslücke des vergangenen Jahrzehnts“. „Das Internet brennt“, findet Adam Meyers, ein hochrangiger Manager der Firma Crowdstrike. Die vermuteten Auswirkungen und die derzeitige Faktenlage geben ihren drastischen Worten recht, denn diese dürften Monate, womöglich Jahre spürbar sein. Dabei können Endnutzer:innen derzeit kaum etwas tun, denn Log4j läuft nicht direkt auf ihren Smartphones oder Computern. Die jeweiligen IT-Abteilungen sind gefragt. Notfallmaßnahmen wurden am Wochenende mittels Zugangsbeschränkungen eingeleitet.
Netzwerke wurden aufgeteilt und segmentiert, damit im Falle eines Angriffs nicht das gesamte Unternehmensnetz betroffen ist, Zugriffsrechte wurden eingeschränkt. Außerdem muss die Sicherheitslücke schnellstmöglich geschlossen werden und alle Hersteller von Softwareprodukten, die die Bibliothek Log4j verwenden, müssen Sicherheitsupdates ihrer Software herausgeben. Teilweise ist das schon passiert, andere arbeiten noch an ihren Updates.
Die Maßnahmen und Auswirkungen werden alle Nutzer:innen zu spüren bekommen. Entweder weil Onlineservices vorübergehend abgeschaltet oder tatsächlich ganze Netzwerke gekapert werden. Die ersten Angriffe wurden bereits gemeldet und auch vom BSI bestätigt. Ein Teil dieser stammen von Sicherheitsexpert:innen, die überprüfen wollen, wo genau das Problem liegt. Allerdings wird auch von weltweiten Massenscans berichtet.
Das bedeutet, dass Angreifer:innen das Internet automatisiert durchsuchen, um so nach Servern und Anwendungen zu suchen, die Log4j benutzen und damit ein leichtes Ziel sind. Auf den ersten Servern wurden schon Programme installiert, die sich die Rechenleistung des angegriffenen Servers zunutze machen, um Kryptowährungen zu schürfen. Zudem sind sich IT-Fachleute darüber einig, dass demnächst einige Computernetze über einen Ransomware-Angriff lahmgelegt werden, wobei die Ransomware über diese Sicherheitslücke eingeschleust wird.
Wer sich die Lücke noch in welcher Form zunutze machen wird, kann derzeit nicht final gesagt werden. Fakt ist, dass diese Sicherheitslücke potenzielle Täter:innen mit Kusshand nehmen, weil sie die Tür zu sehr vielen Daten und Möglichkeiten geöffnet hat. Die Auswirkungen werden deutlich größer sein, als ein paar Tage das verstaubte Faxgerät wieder herauszuholen.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Christian Lindner
Die libertären Posterboys
Außenministerin zu Besuch in China
Auf unmöglicher Mission in Peking
Olaf Scholz’ erfolglose Ukrainepolitik
Friedenskanzler? Wäre schön gewesen!
Rücktrittsforderungen gegen Lindner
Der FDP-Chef wünscht sich Disruption
Neuer Generalsekretär
Stures Weiter-so bei der FDP
Zuschuss zum Führerschein?
Wenn Freiheit vier Räder braucht