Wer zurzeit im Internet unterwegs ist oder aufmerksam die Medien verfolgt, stolpert immer wieder über eine virtuelle Bedrohung aufgrund einer Sicherheitslücke in der Software mit dem Namen Log4j oder auch Log4Shell. Spätestens wenn erwähnt wird, dass es sich laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) um eine „extrem kritischen Bedrohungslage“ handelt, ist die volle Aufmerksamkeit da.
Was ist Log4j?
Bei Log4j handelt es sich um eine Bibliothek, welche Bewegungen des Server-Betriebs in einem Logbuch festhält. Hierüber wird ein Protokoll geschrieben. Zum Beispiel könnte dort stehen „Ich habe um (Uhrzeit) mit Gerät y kommuniziert“. Die Bibliothek Log4j interpretiert nun das Geschriebene. Fatal wird es, wenn die Bibliothek externe Systeme kontaktiert und deren Befehle ausführt, denn nun entsteht die Sicherheitslücke. Die Lücke lässt sich sehr einfach nutzen, da nun einfach von Angreifern der Softwarecode auf fremde Server aufgespielt werden kann. Der Fachausdruck hierzu lautet Remote Code Execution – ferngesteuerte Codeausführung. Und wie das bei einer Fernsteuerung so ist, dann im Ernstfall der komplette Server gekapert werden.
Da Log4j eine open source Componente ist – also eine kostenfreie Software, die ehrenamtlich betreut und geschrieben wird, ist sie in sehr vielen Java-basierenden Programmen zu finden. So nutzen Firmen wie Amazon, Apple und Co. eine auf Java-basierte Infrastruktur. Doch viele Unternehmen wissen nicht, dass diese Software in einem ihrer Programme eingesetzt wird.
Wie man handeln kann
Wie bei einer realen Erpressung, wird der Angriff in der Regel erst dann erkannt, wenn es zu spät ist, sprich, wenn das Erpresserschreiben real oder virtuell vorliegt. Fällt die Entführung vorher auf, ist die Netz-Sicherheit im Unternehmen schon vorab Thema gewesen, sodass Cyber-Angriffe erkannt werden und dementsprechend gehandelt wird.
Sollte dies nicht der Fall sein, hilft nur schnelles Handeln. So sollten nun von den Sicherheits-Herstellern herausgegebene Software-Updates schnellstmöglich installiert werden. Ebenfalls ist eine Bestandsaufnahme sinnvoll: welche Software ist anfällig und was sagt der Hersteller hierzu?
Die persönlichen Daten rund um die Schwachstelle sollten in Sicherheit gebracht werden. Das kann so weit gehen, dass der Service erst einmal abgestellt wird um sich und seine Kunden zu schützen.
Als Privatperson aufmerksam sein.
Laut deutscher IT-Sicherheitsbehörde BSI sind zunächst keine Folgen für Verbraucher bekannt. Vorsicht sollte man trotzdem walten lassen, denn Smart-TVs, IoT-Geräte oder auch PC-Programme könnten plötzlich betroffen sein, da diese an der Infrastruktur des Unternehmens hängen, welches mit Java arbeitet.