Log4shell – wen betrifft die Lücke in Log4j?

Die Medien überschlagen sich gerade mit Horrormeldungen. Das Internet brennt, eine Katastrophe, die uns noch Monate beschäftigt. Für Zeitungen können die Überschriften nicht alarmistisch genug sein. Doch wie schlimm ist die Lücke in Log4j wirklich. Und worum geht es dabei überhaupt? 

Log4shell – ein schon lange offenes Scheunentor 

Bei Log4j handelt es sich um einen Programmbestandteil, der dafür zuständig ist, Aktivitäten zu verzeichnen. Diese Aufgabe ist im Grunde auf jedem Server der Welt zu erledigen. Und weil Programmcodes, die gut funktionieren, gerne und häufig genutzt werden, sind leider auch sehr viele Server von dem Problem betroffen. Auch wenn das Problem jetzt erst erkannt wurde, steht dieses Scheunentor eigentlich schon seit langer Zeit offen. Der erste nachgewiesene Angriff über Log4shell erfolgte am 2. Dezember 2021. Weltweit genutzt wird die betroffene Version von Log4j jedoch bereits seit 2013. Mit nur wenigen Programmzeilen in einem Eingabefeld kann ein Server über diese Lücke übernommen werden. Die Lücke war bisher nicht bekannt, was aber nicht bedeutet, dass sie auch noch nie genutzt wurde.  Nun, da die ganze Welt von dem Problem weiß, gibt es natürlich auch entsprechend viele Angreifer, die versuchen, die Lücke zu nutzen. 

Was kann ich tun, um mich zu schützen? 

Als Unternehmer müssen Sie davon ausgehen, dass Sie von dieser Lücke tatsächlich betroffen sind. Daher ist es jetzt wichtig, dass Sie alles, was Sie über Sicherheit in der digitalen Welt gelernt haben, auch tatsächlich umsetzen. Achten Sie auf Updates und installieren Sie diese so schnell wie möglich. Suchen Sie Ihre Systeme gezielt nach bereits installierter Malware ab, um diese zu löschen. Sorgen Sie dafür, dass Ihre Datensicherung auf dem neuesten Stand ist. Aktivieren Sie bei allen kritischen Systemen eine Zwei-Faktor-Authentifizierung, damit gestohlene Zugangsdaten an Wert verlieren. Zusätzlich können Sie auch Kontakt zu Ihren Diensteanbietern aufnehmen. Wenn Sie Kunde bei uns sind, können Sie sich darauf verlassen, dass wir gründlich auf der Suche nach Log4j in allen von uns betreuten Systemen sind. Zum Glück konnten wir schon für einige unserer Hosting-Partner erfahren, dass die betroffene Bibliothek nicht genutzt wird.  

War es richtig, die Log4j-Lücke zu veröffentlichen? 

Ja, das war es. Die Entdecker des Problems haben zuerst mit den Verantwortlichen von Apache Kontakt aufgenommen. Doch schnell war klar, dass Log4j in vielen anderen Programmen verwendet wird. Um die Betroffenen zu warnen, war eine Veröffentlichung des Problems unumgänglich. Eine solche Lücke lässt sich ohnehin nicht effektiv geheim halten. Man musste davon ausgehen, dass Menschen, die das Problem für sich ausnutzen würden, schon genug darüber wussten. Die ganze Welt zu informieren war daher zwingend notwendig. 

Was stellen Angreifer mit Log4shell an? 

Eine Möglichkeit, die Lücke auszunutzen, besteht darin, Schadsoftware auf einen betroffenen Rechner zu laden. Dies kann zum Beispiel dafür genutzt werden, um fremde Server für sich Bitcoins minen zu lassen. (So bekommt Minecraft eine völlig neue Bedeutung 😉) Dies kann aber auch genutzt werden, um zum Beispiel Daten zu stehlen oder die Server eines Unternehmens lahmzulegen. Häufig werden solche Attacken mit einer Lösegeldforderung verknüpft. Solche Angriffe sind auch als Ransomware-Angriffe bekannt. Das tückische an der Log4shell ist, dass ein Angriff nicht sofort erfolgen muss. Die Schadsoftware kann auch unbemerkt eingeschleust, die Daten unbemerkt kopiert werden, um später erst die eigentliche Attacke zu starten. 

Stimmt es, dass Log4j von Laien betreut wird? 

Log4j ist ein OpenSource-Code. Dies bedeutet, dass jeder den Programmcode lesen und für eigene Zwecke verändern darf. In der Presse wurde dies teilweise so dargestellt, als würden Unternehmen Software nutzen, die Hobby-Programmierer in ihrer Freizeit basteln. So unprofessionell ist der Umgang mit OpenSource-Software jedoch nicht. Es stimmt zwar, dass die Pflege von Log4j von zwei Entwicklern ehrenamtlich übernommen wurde. Doch diese beiden sind gehen dabei ebenso professionell vor, wie die Entwickler eines Unternehmens. Das Problem mit Log4j ist, dass es sich um einen vergleichsweise kleinen Codeabschnitt handelt, der von allen Beteiligten lange unterschätzt wurde. Nun, da die Lücke entdeckt wurde, ist die Tatsache, dass es sich um OpenSource handelt, wieder von Vorteil. Denn Updates, welche den Bug beheben, können so schneller entwickelt und besser überprüft werden. 

Fazit 

Log4j ist eine sehr häufig genutzte Software. Die darin gefundene Lücke kann plattformübergreifend zu Angriffen führen. Unternehmer sollten daher jetzt alle Sicherheitsmaßnahmen für ihre digitalen Systeme hochfahren. Neben der Installation von Updates, welche die Lücke schließen, ist vor allem die Suche nach bereits erfolgten Angriffen notwendig.  

Mehr zum Thema

passwortschutz
5 Punkte für ein sicheres Passwort
Sicherheit bei Passwörtern leider nicht selbstverständlich Jedes Jahr werden Listen beliebter Passwörter veröffentlicht, die darauf hinweisen, wie häufig noch immer unsichere Passwörter genutzt werden. Dabei sollte aus zahlreichen Kinofilmen bekannt sein, wie leicht andere Menschen erraten können, wie der Name des Lieblingshaustiers lautet, um sich so Zugang zu sensiblen Informationen zu verschaffen. Auch scheinbar kryptische Buchstabenkombinationen, […]
weiterlesen
8 Fragen zum Thema Datenschutz
Am 28. Januar 1981 wurde die europäische Datenschutzkonvention unterzeichnet. Die damaligen Mitglieder des Europarates waren in langen Verhandlungen zu einer Formulierung gelangt, welche die personenbezogenen Daten der Bürger schützt und dennoch eine freie Kommunikation über solche Daten grenzüberschreitend zulässt. Seit diesem Tag soll am 28. Januar der europäische Datenschutztag oder Data Privacy Day an die Wichtigkeit des Datenschutzes […]
weiterlesen