Sicherheitslücke Log4Shell: Warnstufe Rot
Die Sicherheitslücke Log4jShell gefährdet weltweit Millionen Online-Anwendungen und Apps. Nicht wenige warnen vor drastischen Folgen.
Berlin taz | Es passiert nicht oft, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Schwachstelle mit ihrer höchsten Warnstufe Rot versieht. Doch so eine Sicherheitslücke existiert seit dem letzten Wochenende. Die Sicherheitslücke Log4Shell gefährdet weltweit Millionen Online-Anwendungen und Apps und öffnet damit Hacker:innen die Tür in Computersysteme in aller Welt. Es handelt sich um einen fehlerhaften Code aus einer Java-Bibliothek namens Log4j. Die Version 1.0 wurde vor fast 21 Jahren veröffentlicht. Seitdem gehört Log4j zum Standard für sogenannte Logging-Beobachtungen: Das Programm protokolliert, wer mit der Software arbeitet und wer auf welche Server zugreift. Mit den Daten sollen Fehler identifiziert werden.
Die Bibliothek Log4j ist Open Source, also kostenfrei und ohne Lizenzgebühren nutzbar. Daher machen es sich Nutzer:innen oft einfach und verwenden die Software ohne zusätzliche Sicherheitsmaßnahmen. Was allerdings bedeutet, dass Hacker:innen schnell Zugang zum System bekommen können. Denn Angreifer:innen können ihren eigenen Code in die Software einsetzen und somit das System vollständig übernehmen. Mittlerweile ist dafür sogar ein eigenes Programm online verfügbar, das den Angriffsweg demonstriert. Hacking für Anfänger:innen sozusagen.
Log4j wird weltweit genutzt: Apple nutzt es für seinen Speicherdienst iCloud, genauso wie das Onlinespiel Minecraft, Twitter, Amazon oder auch der Elektroautohersteller Tesla. Auch das besondere elektronische Anwaltspostfach (beA), mit welchem Rechtsanwält:innen ihre Dokumente an deutsche Gerichte übermitteln müssen, musste außer Betrieb genommen werden. Dort wird nun wieder gefaxt. In unserem Pandemiealltag kommt Log4j oft zum Einsatz: Häufig wird es dazu verwendet, den WLAN-Zugang zu verwalten. Kein Wunder also, dass das BSI am Samstagabend die Warnstufe Rot ausgerufen hat, für eine „extrem kritische IT-Sicherheitslage“.
Keine schönen Aussichten
Viele empfinden die Lage als noch dramatischer. Der Chef der IT-Sicherheitsfirma Tenable, Amit Yorant, meint, es handele sich um die „schlimmste Sicherheitslücke des vergangenen Jahrzehnts“. „Das Internet brennt“, findet Adam Meyers, ein hochrangiger Manager der Firma Crowdstrike. Die vermuteten Auswirkungen und die derzeitige Faktenlage geben ihren drastischen Worten recht, denn diese dürften Monate, womöglich Jahre spürbar sein. Dabei können Endnutzer:innen derzeit kaum etwas tun, denn Log4j läuft nicht direkt auf ihren Smartphones oder Computern. Die jeweiligen IT-Abteilungen sind gefragt. Notfallmaßnahmen wurden am Wochenende mittels Zugangsbeschränkungen eingeleitet.
Netzwerke wurden aufgeteilt und segmentiert, damit im Falle eines Angriffs nicht das gesamte Unternehmensnetz betroffen ist, Zugriffsrechte wurden eingeschränkt. Außerdem muss die Sicherheitslücke schnellstmöglich geschlossen werden und alle Hersteller von Softwareprodukten, die die Bibliothek Log4j verwenden, müssen Sicherheitsupdates ihrer Software herausgeben. Teilweise ist das schon passiert, andere arbeiten noch an ihren Updates.
Die Maßnahmen und Auswirkungen werden alle Nutzer:innen zu spüren bekommen. Entweder weil Onlineservices vorübergehend abgeschaltet oder tatsächlich ganze Netzwerke gekapert werden. Die ersten Angriffe wurden bereits gemeldet und auch vom BSI bestätigt. Ein Teil dieser stammen von Sicherheitsexpert:innen, die überprüfen wollen, wo genau das Problem liegt. Allerdings wird auch von weltweiten Massenscans berichtet.
Das bedeutet, dass Angreifer:innen das Internet automatisiert durchsuchen, um so nach Servern und Anwendungen zu suchen, die Log4j benutzen und damit ein leichtes Ziel sind. Auf den ersten Servern wurden schon Programme installiert, die sich die Rechenleistung des angegriffenen Servers zunutze machen, um Kryptowährungen zu schürfen. Zudem sind sich IT-Fachleute darüber einig, dass demnächst einige Computernetze über einen Ransomware-Angriff lahmgelegt werden, wobei die Ransomware über diese Sicherheitslücke eingeschleust wird.
Wer sich die Lücke noch in welcher Form zunutze machen wird, kann derzeit nicht final gesagt werden. Fakt ist, dass diese Sicherheitslücke potenzielle Täter:innen mit Kusshand nehmen, weil sie die Tür zu sehr vielen Daten und Möglichkeiten geöffnet hat. Die Auswirkungen werden deutlich größer sein, als ein paar Tage das verstaubte Faxgerät wieder herauszuholen.
Leser*innenkommentare
Michael Wiedmann
Es handelt sich eben nicht um "Fehlerhafter Code" wie in der Überschrift suggeriert wird. Im Gegenteil funktioniert in diesem Fall der Code (JNDI Lookup) genau so wie spezifiziert.
Ein Sicherheitsproblem stellt er trotzdem dar.
Moderation
Moderator
@Michael Wiedmann Wir haben es korrigiert. Vielen Dank für den Hinweis! Die Moderation