Die Sicherheitslücke Log4Shell: Gefahrenpotenzial und Gegenmaßnahmen
Alarmstufe Rot: Die Zero-Day-Sicherheitslücke Log4Shell ist ein IT-Sicherheitsvorfall von internationalem Ausmaß. Hier erfahren Sie, welche Gefahr von ihr ausgeht und welche Sofortmaßnahmen Sie ergreifen können.
Es ist das Albtraumszenario für viele IT-Sicherheitsexpertinnen und -experten. Eine Lücke in einer Software, die auf der ganzen Welt im Einsatz ist – und die von Cyberkriminellen entdeckt wurde, bevor der Hersteller darauf reagieren konnte. So geschehen Anfang Dezember mit der vielgenutzten Server-Software Log4j. In dem Programm wurde eine gravierende Zero-Day-Sicherheitslücke entdeckt, die es Hackerinnen und Hackern ermöglicht, in Systeme einzudringen und dort nahezu unbemerkt Viren oder andere Schadsoftware zu hinterlassen. Die Sicherheitspanne wurde auf der CVSS-Skala (Common Vulnerability Scoring System, deutsch: Allgemeines Bewertungssystem für Schwachstellen) mit dem Höchstwert 10 klassifiziert. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für die Bedrohung daher die Warnstufe „Rot“ ausgerufen.
Weltweit sind aktuell IT-Sicherheitsexpertinnen und -experten alarmiert, denn die Folgen von CVE-2021-44228 alias Log4Shell – so der Name der Sicherheitspanne – sind derzeit noch nicht in vollem Ausmaß zu erfassen. Sogenannte Schläfer-Viren könnten demnach auch erst Wochen oder Monate später aktiv werden und Schaden anrichten.
Welche Gefahr von Log4Shell ausgeht und welche IT-Systeme gefährdet sind: Die Experten des österreichischen Computer Emergency Response Teams (CERT.at), dem nationalen Ansprechpartner für IT-Sicherheit und Cyber-Attacken, beantworten die wichtigsten Fragen.
Was ist Log4j?
Log4j ist eine für die Programmiersprache Java entwickelte Software-Bibliothek der Apache Software Foundation (ehrenamtliche Organisation zur Software-Entwicklung). Mit dieser können sämtliche Ereignisse wie zum Beispiel Zugriffe und Fehler innerhalb einer Anwendung protokolliert werden (Logging). Mithilfe dieser Protokollierungsfunktionalität beziehungsweise dieser Bibliothek können Aktionen wie zum Beispiel eine Online-Buchung für einen Termin, die durch eine Applikation ausgeführt werden, in einfachen Text-Dateien abgelegt und dadurch leichter nachvollzogen werden. Bei Log4j handelt es sich um eine Open-Source-Software, deren Quellcode öffentlich einsehbar ist und daher von einer Vielzahl an Entwicklerinnen und Entwicklern überprüft und getestet werden kann. Normalerweise gelten Open-Source-Anwendungen deshalb als besonders sicher.
Hinweis
Java ist eine der am weitesten verbreiteten Programmiersprachen der Welt, mit denen Software-Programme geschrieben und deren Verhalten festgelegt werden kann. Die Programmiersprache Java kommt sehr häufig für Webanwendungen, Desktop-Anwendungen und Apps zum Einsatz und zeichnet sich durch weitestgehend plattformunabhängige Einsatzmöglichkeiten aus.
Was wird unter einer „Zero-Day-Sicherheitslücke“ verstanden?
Bei einer Zero-Day-Sicherheitslücke wissen Cyberkriminelle von Schwachstellen in IT-Systemen, bevor den Herstellerinnen und Herstellern des Programms das Problem bekannt ist. Weil der Hersteller daher auch nicht rechtzeitig einen Patch (Software-Update zur Schließung von Sicherheitslücken) zur Verfügung stellt, kann die IT-Security des Anwenders die Sicherheitslücke nicht rasch schließen und kann sich nur noch der Schadensbegrenzung widmen – ein Wettlauf gegen die Zeit. Sofern eine Schadensminimierung noch möglich sei, hat diese meist zur Folge, dass die entsprechenden Systeme nur noch eingeschränkt funktionieren, heißt es dazu vom CERT.at.
Welche Bedrohung geht von CVE-2021-44228 alias Log4Shell aus?
Log4Shell stellt für unzählige Systemumgebungen von Apple über Microsoft bis hin zu SAP-Systemen eine Bedrohung dar. Denn von der Sicherheitslücke sind alle Anwendungen betroffen, bei denen die Java-Bibliothek Log4j zum Einsatz kommt. Dies betrifft daher auch in Österreich eine Vielzahl von Servern beziehungsweise Rechnern, wie das nationale IT-Sicherheitsteam festhält: „Die Angriffsoberfläche ist durch die weite Verbreitung der Bibliothek sehr groß und reicht theoretisch von Java-Anwendungen bis zu smarten Geräten sowie Internet-Of-Things-Devices. Im schlimmsten Fall kann ein erfolgreiches Ausnützen der Schwachstelle zu einer vollständigen Übernahme des betroffenen Systems oder Gerätes führen.“ Im Wesentlichen besteht die Gefahr darin, dass Angreiferinnen und Angreifer über einen einfachen Protokolleintrag hinaus einen ausführbaren Code (Ransomware und Remote Code Executions – der Angreifer kann damit aus der Ferne einen Zielcomputer steuern) über Log4j einschleusen und sich auf diese Weise Zugriff auf das Computersystem verschaffen. Dieser Umstand bietet einen großen Spielraum für Manipulationen eines Computers.
Hinweis
Welche Sicherheitsrisiken bei smarten Geräten im Rahmen von IoT (Internet der Dinge) existieren und welche Maßnahmen zusätzlichen Schutz bieten, erfahren Sie im Beitrag „Sicherheit im Internet of Things (IoT)“.
Eine vollständige Beurteilung, welche Anwendungen beziehungsweise auch welche Unternehmen in Österreich durch Log4Shell bedroht sind, ist derzeit nicht möglich: „Bei den Scans wird eine speziell präparierte Anfrage geschickt und anhand der Antwort kann beurteilt werden, ob das System verwundbar ist, oder nicht. Die Aussagekraft dieser Scan-Ergebnisse ist in dem vorliegenden Szenario jedoch schwer einzuschätzen, da auch Systeme betroffen sein können, welche nicht direkt aus dem Internet und damit von einem so gearteten Scan erreichbar sind,“ so CERT.at.
Sind auch private Userinnen und User von Log4Shell betroffen?
Für private Anwenderinnen und Anwender geht derzeit keine große Gefahr von Log4Shell aus, wie CERT.at bestätigt: „Sofern sie keine öffentlich erreichbaren Services betreiben, ist die Gefahr für Privatpersonen derzeit eher gering.“
Welche Sicherheitsmaßnahmen können gegen Log4Shell ergriffen werden?
Um die Sicherheitslücke zu schließen beziehungsweise das Gefahrenpotenzial zu minimieren, müssen Administratorinnen und Administratoren von Anwendungen so zeitnah wie möglich Software-Updates installieren, die von den Herstellerfirmen der jeweiligen Software zur Verfügung gestellt werden. „Der nachhaltigste Weg, die Lücke zu beheben, ist das Einspielen aktualisierter Versionen der Programme. In einigen wenigen Fällen ist das Updaten unter Umständen (noch) nicht möglich; hier gibt es für technisch versierte Administratorinnen und Administratoren diverse Möglichkeiten, die Angriffsfläche zu reduzieren,“ so die Expertinnen und Experten von CERT.at. Derzeit arbeiten außerdem alle Cybersicherheits-Behörden mit Hochdruck an der Lösung des Problems.
Laut dem amerikanischen SANS-Institute (Forschungsorganisation für Cybersecurity) können Betreiberinnen und Betreiber von Servern mit Java-Anwendungen außerdem den ausgehenden Datenverkehr blockieren. Zudem wurden im Netz bereits Skripte zur Verfügung gestellt, die eine Überprüfung der eigenen Systeme auf die Verwendung der Log4j Bibliothek ermöglichen, so CERT.at: „Mittlerweile gibt es mehrere öffentlich verfügbare Skripte, mit denen die eigene Infrastruktur getestet werden kann. Dabei ist zu beachten, dass die Skripte auf jeden Fall gelesen und verstanden werden müssen, bevor man sie einsetzt.“
Hinweis
- Umfassende Informationen zu den verfügbaren Software-Updates finden Sie auf der Website des nationalen CERT von Österreich.
- Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt Arbeitspapiere zur Detektion und Reaktion auf die Log4j-Schwachstelle zur Verfügung. Hier finden Sie außerdem eine vom BSI veröffentlichte PDF-Datei mit umfassenden Informationen rund um die kritische Schwachstelle in Log4j.
- Der Lizenzgeber Apache hat praktische Sicherheitshinweise für Administratorinnen und Administratoren von Java-basierten Anwendungen herausgegeben.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria