Log4j – was ist mit dieser Sicherheitslücke?

Bei erfolgreichem Angriff übernehmen Cyberkriminelle sowohl das jeweilige lokale Gerät und können auch beliebige weitere Geräte infizieren. Nach der Infektion können sie beliebige Codes auf dem lokalen Rechner ausführen und weiteren Schadcode nachladen. Zum Beispiel können sie Rechnerressourcen für das Schürfen von Cryptowährungen blockieren (das war tatsächlich das erste Angriffs-Szenario). Oder sie greifen auf die gängige Methode der Verschlüsselung von Speichermedien zurück und erpressen dann ihre Opfer um hohe Geldbeträge. In jedem Fall legen sie dadurch ganze Server- und Netzwerksysteme lahm. Der eigentliche Angriff kann sehr leicht mit einem einzigen Kommando oder einen einzigen Aktion ausgeführt werden, z. B. durch die Eingabe einer bestimmte Zeichenkette bei der Umbenennung eines iPhones. Die Gefährdung besteht sowohl bei Geräten mit als auch ohne direktem Internet-Zugang. Das ist wohl auch der Grund, warum sonst eher gelassenen IT-Sicherheitsspezialisten Sätze wie „Ja Leute, die Scheiße brennt lichterloh“ von sich geben.

Wie erkennt man die Gefährdung? Und was kann man tun?

Als erste akute Maßnahme empfahl das BSI kurz gefasst: nicht notwendige Systeme abschalten, Netzwerke segmentieren und verwundbare Systeme damit isolieren. Und vor allem alles loggen bzw. protokollieren, damit man kompromittierte Systeme erkennt. Wir empfehlen ein pro-aktives Vorgehen. Das ist kein Job für Laien, aber Ihre IT-Dienstleister wissen inzwischen, wonach sie suchen müssen. Dabei überprüfen sie sämtliche Geräte, ob eine Java-Laufzeitumgebung installiert ist. Genau genommen müssen sie alle installierten Softwares und Apps durchgehen und gezielt nach einer möglichen Installation der Software-Bibliothek „Log4j“ suchen. Ist diese tatsächlich installiert, dann stehen inzwischen sowohl für Java als auch für die meisten betroffenen Softwares entsprechende Updates zur Verfügung, welche die Sicherheitslücke schließen. Das ist ein ziemlich großer aber notwendiger Aufwand. Ob bis dahin bereits eine Hintertür (Backdoor) installiert wurde, wird damit leider noch nicht geklärt sein.

Geht das auch einfacher?

Wer bis heute bei der Anwendungsentwicklung auf Java aus gutem Grund verzichtet hat, der ist jetzt natürlich fein raus. So wie zum Beispiel der Hersteller unserer Fakturierungssoftware, dessen Versicherung, kein Log4j zu verwenden, absolut glaubhaft ist. Daher besteht in diesem Fall keine aktuelle Gefährdung. Dennoch müssen alle Hersteller sämtlicher installierten Software gefragt werden, ob ihre Software potentiell gefährdet ist. Auf die dann hoffentlich umgehend verfügbaren Antworten muss Verlass sein. Die darin enthaltenen Verhaltens-Anweisungen müssen dann auch zwingend befolgt werden.