Log4shell – wen betrifft die Lücke in Log4j?
Die Medien überschlagen sich gerade mit Horrormeldungen. Das Internet brennt, eine Katastrophe, die uns noch Monate beschäftigt. Für Zeitungen können die Überschriften nicht alarmistisch genug sein. Doch wie schlimm ist die Lücke in Log4j wirklich. Und worum geht es dabei überhaupt?
Log4shell – ein schon lange offenes Scheunentor
Bei Log4j handelt es sich um einen Programmbestandteil, der dafür zuständig ist, Aktivitäten zu verzeichnen. Diese Aufgabe ist im Grunde auf jedem Server der Welt zu erledigen. Und weil Programmcodes, die gut funktionieren, gerne und häufig genutzt werden, sind leider auch sehr viele Server von dem Problem betroffen. Auch wenn die Lücke jetzt erst erkannt wurde, steht dieses Scheunentor eigentlich schon seit langer Zeit offen. Der erste nachgewiesene Angriff über Log4shell erfolgte am 2. Dezember 2021. Weltweit genutzt wird die betroffene Version von Log4j jedoch bereits seit 2013. Mit nur wenigen Programmzeilen in einem Eingabefeld kann ein Server über diese Lücke übernommen werden. Die Lücke war bisher nicht bekannt, was aber nicht bedeutet, dass sie auch noch nie genutzt wurde. Nun, da die ganze Welt von dem Problem weiß, gibt es natürlich auch entsprechend viele Angreifer:innen, die versuchen, die Situation aus zu nutzen.
Was kann ich tun, um mich zu schützen?
Als Unternehmer:in musst du davon ausgehen, dass du von dieser Lücke tatsächlich betroffen sind. Daher ist es jetzt wichtig, dass du alles, was du über Sicherheit in der digitalen Welt gelernt hast, auch tatsächlich umsetzt. Achte auf Updates und installiere diese so schnell wie möglich. Suche deine Systeme gezielt nach bereits installierter Malware ab, um diese zu löschen. Sorge dafür, dass deine Datensicherung auf dem neuesten Stand ist. Aktiviere bei allen kritischen Systemen eine Zwei-Faktor-Authentifizierung, damit gestohlene Zugangsdaten an Wert verlieren. Zusätzlich kannst du auch Kontakt zu deinen Diensteanbieter:innen aufnehmen. Wenn du Kund:in bei uns bist, kannst du dich darauf verlassen, dass wir gründlich auf der Suche nach Log4j in allen von uns betreuten Systemen sind. Zum Glück konnten wir schon für einige unserer Hosting-Partner:innen erfahren, dass die betroffene Bibliothek nicht genutzt wird.
War es richtig, die Log4j-Lücke zu veröffentlichen?
Ja, das war es. Die Entdecker:innen der Lücke haben zuerst mit den Verantwortlichen von Apache Kontakt aufgenommen. Doch schnell war klar, dass Log4j in vielen anderen Programmen verwendet wird. Um die Betroffenen zu warnen, war eine Veröffentlichung des Problems unumgänglich. Eine solche Lücke lässt sich ohnehin nicht effektiv geheim halten. Man musste davon ausgehen, dass Menschen, die diese Situation für sich ausnutzen würden, schon genug darüber wussten. Die ganze Welt zu informieren war daher zwingend notwendig.
Was stellen Angreifer:innen mit Log4shell an?
Eine Möglichkeit, die Lücke auszunutzen, besteht darin, Schadsoftware auf einen betroffenen Rechner zu laden. Dies kann zum Beispiel dafür genutzt werden, um fremde Server für sich Bitcoins minen zu lassen. Es kann aber auch genutzt werden, um zum Beispiel Daten zu stehlen oder die Server eines Unternehmens lahmzulegen. Häufig werden solche Attacken mit einer Lösegeldforderung verknüpft. Derartige Angriffe sind auch als Ransomware-Angriffe bekannt. Das tückische an der Log4shell ist, dass ein Angriff nicht sofort erfolgen muss. Die Schadsoftware kann auch unbemerkt eingeschleust, die Daten unbemerkt kopiert werden, um später erst die eigentliche Attacke zu starten.
Stimmt es, dass Log4j von Laien betreut wird?
Log4j ist ein OpenSource-Code. Dies bedeutet, dass jede:r den Programmcode lesen und für eigene Zwecke verändern darf. In der Presse wurde dies teilweise so dargestellt, als würden Unternehmen Software nutzen, die Hobby-Programmierer:innen in ihrer Freizeit basteln. So unprofessionell ist der Umgang mit OpenSource-Software jedoch nicht. Es stimmt zwar, dass die Pflege von Log4j von zwei Entwickler:innen ehrenamtlich übernommen wurde, doch diese beiden sind gehen dabei ebenso professionell vor, wie die Entwickler:innen eines Unternehmens. Das Problem mit Log4j ist, dass es sich um einen vergleichsweise kleinen Codeabschnitt handelt, der von allen Beteiligten lange unterschätzt wurde. Nun, da die Lücke entdeckt wurde, ist die Tatsache, dass es sich um OpenSource handelt, wieder von Vorteil. Denn Updates, welche den Bug beheben, können so schneller entwickelt und besser überprüft werden.
Fazit
Log4j ist eine sehr häufig genutzte Software. Die darin gefundene Lücke kann plattformübergreifend zu Angriffen führen. Unternehmer:innen sollten daher jetzt alle Sicherheitsmaßnahmen für ihre digitalen Systeme hochfahren. Neben der Installation von Updates, welche die Lücke schließen, ist vor allem die Suche nach bereits erfolgten Angriffen notwendig.
Du willst immer auf dem Laufenden bleiben?
Dann abonniere unseren Newsletter um keine Neuigkeiten mehr zu verpassen.