DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Grosskonzerne wie Microsoft sind betroffen, aber auch User im Home-Office.
Grosskonzerne wie Microsoft sind betroffen, aber auch User im Home-Office.Bild: keystone

«Warnstufe Rot» für das ganze Internet – so gross ist die Bedrohung durch «Log4j» wirklich

Die Cybersecurity-Fachleute des Bundes haben die Betreiber kritischer Infrastrukturen gewarnt. Doch auch Privat-User sind direkt oder indirekt betroffen.
13.12.2021, 09:4313.12.2021, 13:30

Die Meldung erreichte viele Menschen kurz vor dem Wochenende auf dem falschen Fuss – oder sie bekamen gar nichts mit von der drohenden Gefahr. Die Rede ist von einer verhängnisvollen Schwachstelle in einer weit verbreiteten Java-Bibliothek (dazu unten mehr). Die Schwachstelle (CVE-2021-44228) wird umgangssprachlich Log4Shell genannt.

Das war am Freitagabend. Und natürlich half es nicht, dass die Nachrichtenagenturen das Thema Log4j in der Folge stiefmütterlich behandelten. Dies auch nachdem das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) am Samstag die höchste Warnstufe (Rot) ausrief.

Dieser Beitrag dreht sich um die wichtigsten Fragen und Antworten aus Sicht der normalen Internet-Nutzerinnen und -Nutzer. Denn eines ist klar: Server-Administratoren und IT-Sicherheitsexperten wurden durch die sich überschlagenden Ereignisse um Freizeit und Schlaf gebracht.

Wie schlimm ist es?

Noch schlimmer als zunächst befürchtet.

Die Fachleute vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die am Freitag bekannt gewordene Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek Log4j nachträglich hochgestuft. Seit Samstag gelte nun die höchste Warnstufe Rot, schreibt heise.de.

Der Grund: Man habe beobachtet, «dass die Schwachstelle ohne explizites Nachladen von Schadcode ausgenutzt werden könne, womit ein Grossteil der empfohlenen Gegenmassnahmen ins Leere läuft».

screenshot: twitter

Von der Log4j-Sicherheitslücke betroffen sind nicht nur Server und Netzwerkkomponenten: Java-Programmcode sei auch in Zugangssystemen wie digitalen Schliesssystemen und in der Automatisierungstechnik sowie Smart Home weit verbreitet: Ob auch diese Systeme durch den Zero-Day-Exploit kompromittierbar sind, weiss laut heise.de noch niemand.

«Sicherheitsspezialisten auf der ganzen Welt arbeiten trotz Wochenende fieberhaft daran, verwundbare Systeme zu identifizieren und Lücken zu stopfen. Sie liefern sich einen Wettlauf mit den Angreifern, die derzeit ebenfalls Überstunden schieben.»
quelle: heise.de

Gefährdet seien nicht nur Grosskonzerne wie Google, die bei GitHub auf dieser Liste aufgeführt sind: Log4j stecke auch in vielen Netzwerk- und Systemkomponenten, die in kleinen Unternehmen, aber auch von Privatpersonen und Mitarbeitern im Home-Office eingesetzt würden.

Wenn kriminelle Angreifer eigene Schadsoftware einschleusen können, droht Datenklau oder Schlimmeres.

Das Problem erinnere an ShellShock, konstatiert heise.de: 2014 waren viele Server durch eine Sicherheitslücke im Kommandozeilen-Interpreter Bash kompromittierbar.

Wie reagiert die Schweiz?

Die Cybersecurity-Experten vom staatlichen Computer Emergency Response Team (GovCERT) informierten am Sonntag in einem Blog-Beitrag über das Vorgehen:

«Am Samstagabend haben wir damit begonnen, potenziell betroffene Organisationen in der Schweiz über verwundbare Log4j-Instanzen zu informieren, die über das Internet erreichbar sind. Solche Meldungen wurden auch an mehrere nationale Kritische Infrastrukturen (KRITIS) gesendet.»

Zu den sogenannten «Kritischen Infrastrukturen» gehören die Teilsektoren Stromversorgung, Erdölversorgung, Erdgasversorgung sowie Fern- und Prozesswärme.

Obwohl die Schwachstelle bei gezielten Angriffen auf nationale kritische Infrastrukturen ausgenutzt werden könne, habe das GovCERT diesbezüglich noch keine Berichte erhalten.

«Die von uns bisher beobachteten Ausbeutungsversuche dienten dem Einsatz von Massen-Malware wie Mirai 2 , Kinsing 3 und Tsunami 3 (aka Muhstik ). Der primäre Einsatz dieser Botnets ist der Start von DDoS-Angriffen (Mirai, Tsunami) oder das Mining von Kryptowährungen (Kinsing).»
quelle: govcert.ch

Was können normale Userinnen und User tun?

Sofern nicht schon getan, sollte man unbedingt Sicherheitskopien (Backups) aller wertvollen Daten erstellen.

Abgesehen davon kann man nur hoffen, dass die IT-Verantwortlichen der betroffenen Organisationen ihre Computer-Systeme schnell absichern. Dies muss je nach Konstellation auch durch zusätzliche Updates passieren. Aus diesem Grund sollte man die Benachrichtigungen im Auge behalten und Software-Aktualisierungen umgehend installieren.

screenshot: twitter

Zum Beispiel habe der Netzwerk-Ausrüster Ubiquiti gemäss Bericht von heise.de eingeräumt, dass sein Konfigurations- und Verwaltungs-Programm UniFi Network Application verwundbar ist und ein Update bereitgestellt.

Was genau ist das Problem mit diesem «Log4j»?

Die Abkürzung «log4j» steht für «Logging for Java». Dabei handelt es sich um eine Server-Software, die Anwendungen in der Programmiersprache Java beim Betrieb hilft. Das Problem: Wegen der nun öffentlich bekannten Schwachstelle könnten Angreifer Schadsoftware auf fremden Systemen laufen lassen und sie unter Umständen sogar komplett kapern.

Log4j dient dazu, die Aktivitäten eines Programms zu protokollieren, zu loggen. Ein solches Log dient Softwareentwicklern zum Beispiel dazu, kontrollieren zu können, ob das Programm ordnungsgemäß läuft oder um im Nachhinein Probleme nachvollziehen zu können. Ins Protokoll können auch Eingaben des Benutzers geschrieben werden. Hier liegt das Problem der Log4j-Sicherheitslücke.
quell: zeit.de

Weil die Java-Bibliothek in extrem vielen Java-Anwendungen vorkommt, ist noch nicht absehbar, wie viele Internetdienste angreifbar sind. Sicher ist: Betroffen sind auch namhafte Firmen wie Apple, Google oder Microsoft.

Die Cybersecurity-Spezialisten von GovCERT.ch haben eine Grafik veröffentlicht, die bei Twitter gelobt wird. Sie zeigt auf, wie Angreifer die Schwachstelle in der weit verbreiteten Java-Bibliothek für Online-Attacken ausnutzen und was Systemadministratoren dagegen tun können.

grafik: govcert.ch

Noch Fragen?

Schreib uns via Kommentarfunktion!

Insider-Informationen
watson-Redaktor Daniel Schurter ist weiterhin über die verschlüsselte Messenger-App Threema auch anonym zu erreichen. Seine «Threema ID» lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann ohne Aufwand verschlüsselte E-Mails verschicken.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Fünf Schweizer TikToker erzählen, wie sie mit Hass im Internet umgehen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

iPhone, iPad und Mac: Diese Sicherheits-Updates sollten alle Apple-User JETZT installieren
Apple behebt zwei Zero-Day-Schwachstellen, von denen eine öffentlich bekannt ist und die andere bereits «in freier Wildbahn» von Angreifern ausgenutzt wird, um sich in Geräte zu hacken.

Für Apple-User sind Sicherheits-Updates verfügbar, die sehr viele Geräte betreffen, vom iPhone übers iPad bis zum Mac. Diese sollte man umgehend installieren.

Zur Story