Log4Shell

"Größte Schwachstelle in der Geschichte"

Die Sicherheitslücke Log4Shell bedroht aktuell zahlreiche Internetdienste. IT-Sicherheitsexperten warnen vor gravierenden Folgen.
Von 
CSO | 14. Dezember 2021 10:13 Uhr
Die Sicherheitslücke in der weit verbreiteten Java-Bibliothek Log4j stellt Unternehmen weltweit vor große Herausforderungen.
Die Sicherheitslücke in der weit verbreiteten Java-Bibliothek Log4j stellt Unternehmen weltweit vor große Herausforderungen.
Foto: Orla - shutterstock.com

Bei Log4Shell handelt es sich um eine Zero-Day-Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das Risiko auf der sogenannten CVSS-Skala mit dem höchstmöglichen Wert 10 ein. Auch der Präsident des Digitalverbands Bitkom, Achim Berg warnt vor der kritischen Sicherheitslücke: "Wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) Samstagnacht die Warnstufe Rot ausruft, dann ist die Bedrohungslage ernst, sehr ernst."

Cyberkriminelle hätten bereits aktiv versucht, die Schwachstelle auszunutzen, so Berg weiter. Welt- und deutschlandweit erfolgten derzeit Massen-Scans sowie Kompromittierungsversuche. Berichten zufolge sind bereits bekannte Serviceanbieter wie Amazon und Apple von der Sicherheitslücke betroffen. "Diese Schwachstelle ist nicht nur besonders gefährlich, weil Angreifer die vollständige Kontrolle über das System erlangen können, sondern weil sie sich auch besonders einfach ausnutzen lässt - sogar ein unerfahrener Hacker kann davon profitieren. Wir sehen bereits, dass Cyberkriminelle aktiv nach Software suchen, die sie mit dieser Schwachstelle ausnutzen können", ergänzt Evgeny Lopatin, Sicherheitsexperte bei Kaspersky.

"Herstellerseitig muss schnellstmöglich in Erfahrung gebracht werden, wo überall die Java-Bibliothek zum Einsatz kommt und die Sicherheitsupdates müssen entsprechend ausgerollt werden. Anwenderseitig gilt es, betroffene Systeme zu identifizieren, Abwehrmaßnahmen zu ergreifen und dafür den aktuellen Hinweisen des BSI zu folgen. Gleichzeitig müssen alle verwundbaren Systeme auf eine Kompromittierung hin untersucht werden, um auch weitere potenzielle Einfallstore zu schließen", unterstreicht Berg.

"Im Moment liegt die Priorität darauf, herauszufinden, wie weit das Problem wirklich verbreitet ist", betont Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. "Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden." Die Gefahr: Cyberkriminelle können mit Hilfe der Lücke auch unauffällige Hintertüren für sich einbauen. "Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später", warnt der Experte.

Amit Yoran, CEO beim IT-Sicherheitsanbieter Tenable spricht sogar von der größten IT-Schwachstelle seit vielen Jahren: "Wenn alle Untersuchungen abgeschlossen sind, könnten wir tatsächlich feststellen, dass es sich um die größte einzelne Schwachstelle in der Geschichte des modernen Computing handelt."

Diese Art von Schwachstelle erinnere daran, dass ausgereifte Cybersicherheitsprogramme entwickelt und umgesetzt werden müssten, um Cyberrisiken besser zu verstehen und zu bewältigen. Unternehmen sollten ihre Sicherheitskontrollen aktualisieren und davon ausgehen, dass sie kompromittiert wurden. Weiterhin sollten bestehende Pläne zur Reaktion auf Vorfälle aktiviert werden, empfiehlt der Security-Experte. "Die oberste Priorität besteht jetzt darin, mit Ihren internen Security- und Engineering-Teams oder mit einer externen Organisation zusammenzuarbeiten, die präzise Sicherheitschecks durchführt, um die Auswirkungen auf Ihre Organisation zu identifizieren."

Sinisa Dukanovic, stellvertretender Abteilungsleiter beim Fraunhofer Institute for Secure Information Technology SIT, bezeichnet den Vorfall als "sehr übel". Wer als Unternehmen am Wochenende nicht reagiert habe, sei vermutlich bereits erfolgreich angegriffen worden."Wer sich also erst heute mit der Sicherheitslücke auseinandersetzt, ist für präventive Maßnahmen zu spät - und damit tatsächlich bei der Forensik angelangt. Dieser Fall ist leider wieder ein gutes Negativbeispiel, warum Unternehmen gleichermaßen Ressourcen und Wissen in IT-Sicherheit investieren müssen."

So können Sie sich schützen

Der Security-Anbieter Kaspersky empfiehlt folgende Punkte, um die Ausnutzung der Sicherheitslücke zu verhindern:

  • Umgehend die neueste Version der Bibliothek 2.15.0 installieren, diese ist auf der Produktseite verfügbar. Wird die Bibliothek in einem Drittprodukt verwendet, sollte geprüft werden, wann der Software-Anbieter ein Update zur Verfügung stellt; auch dieses sollte umgehend installiert werden.

  • Die Apache Log4j-Projektrichtlinien unter https://logging.apache.org/log4j/2.x/security.html befolgen.

  • Unternehmen sollten eine Sicherheitslösung verwenden, die Exploit-Präventions-, Vulnerability- und Patch-Management-Komponenten bietet.

  • Lösungen, beziehungsweise Dienste nutzen, die Angriffe in frühen Stadien erkennen und stoppen können.

Nach den Angaben des TÜV-Verbands bieten die Cybersecurity-Experten der TÜV-Organisationen ihre Services für die Detektion von IT-Sicherheitsproblemen an und helfen auch dann, wenn Angreifer bereits die Sicherheitsmaßnahmen überwinden konnten.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.