Log4j – was ist mit dieser Sicherheitslücke?

Seit Anfang Dezember geht die „Log4j Zero-Day-Lücke“ als die größte Sicherheitslücke des Jahres durch alle einschlägigen Medien. Aber was hat es damit auf sich? Nur soviel vorneweg: Es handelt sich um ein ernstes Problem, an dem Sie nicht selbst schuld sind. Aber Sie könnten davon betroffen sein, ohne es zu wissen oder zu merken. Denn viele Softwareanwendungen verwenden dieses „Log4j“, welches Hacker ohne große Trickserei als Einfallstor in Server und Netzwerke missbrauchen. Das versetzt selbst gelassene IT-Sicherheitsexperten in Aufruhr und sorgt für Überstunden der IT-Fachabteilungen. Aber die gute Nachricht ist: Inzwischen gibt es Abhilfe durch umfassende Updates vieler Software-Hersteller. Und man setzt auf Werkzeuge, die gezielt nach eventuellen Problemen suchen und diese protokollieren.

Wir geben Ihnen hier einen kurzen Überblick über den Stand der Dinge.

Das BSI ruft die Cyber-Sicherheitswarnung der Warnstufe Rot aus

Seit dem 10.12.2021 berichten alle namhaften Online-Medien von einer „Log4j-Zero-Day-Lücke“. „Log4j“ ist eine Software aus der Java-Welt, die oft und gerne verwendet wird.  „Zero-Day“ bezieht sich auf die unschöne Tatsache, dass die Sicherheitslücke öffentlich bekannt wurde, bevor es einen Patch dafür gab. Bevorzugtes Angriffsziel sind Server, aber auch alle möglichen anderen vernetzten Geräte. Deshalb also die dringlichen Warnungen des BSI und die hektische Betriebsamkeit in den vielen IT-Fachabteilungen. So gibt es hierzu ganz aktuell bereits konkrete Handlungsempfehlungen (heise-Security-Webinar: Log4j – der Praxis-Ratgeber für Admins …) Derzeit spitzt sich die Lage zu. Denn inzwischen gibt es immer mehr  Meldungen über entdeckte Schadsoftwares, die sich den Zutritt über „Log4j“ verschafft haben. Und auch immer mehr Erpressungsversuche sind aktenkundig.

Worin besteht die besondere Gefahr von „Log4j“?

Log4j (=Protokoll-Auswertung für Java) ist eine beliebte Protokollierungsbibliothek für Java. Sie dient der Verarbeitung von Protokolldaten einer beliebigen (auch nicht-Java-) Anwendung. Protokolle braucht man in der Regel, wenn zwischen zwei Stellen Daten ausgetauscht werden. Für alle Nicht-Tekkies übersetzt heißt das: „Log4j“ ist eine Software, welche unter Java-läuft und welche die Kommunikation zwischen unterschiedlichen Programmen erleichtert. Diese Software arbeitet auf sämtlichen gebräuchlichen Betriebs-System- und Hardware-Plattformen. Also sowohl auf Servern als auch auf Nutzer-Endgeräten wie PCs, IOT-Geräten oder sogenannten Smart Devices. Log4j findet also sehr häufig Verwendung. Oftmals ist ihr Einsatz nicht einfach zu erkennen. Auf den Punkt gebracht bedeutet dies: Ein Angriff über die Log4j-Lücke ist sehr einfach durchzuführen und fast jede vernetzte Hardware ist gefährdet. Und damit findet das Übel eine weite Verbreitung.