Sicher haben Sie von dem aktuellen Sicherheitsvorfall gelesen, der seit dem 10.12.2021 durch alle einschlägigen Medien geht. Die „Log4j-Zero-Day-Lücke“ gilt als das größte Sicherheitsproblem des Jahres. Es ist zwar nicht ausschließlich ein nur Server betreffendes Problem, dennoch betrifft es natürlich auch uns. Die gute Nachricht lautet: Wir konnten den wenigen betroffenen Kunden umgehend helfen. Und wir setzen Werkzeuge ein, die gezielt nach eventuellen Problemen suchen und diese protokollieren, so dass wir sofort eingreifen können. Dennoch ist die Situation ernst, so dass wir Ihnen einen Überblick geben, worum es sich hier eigentlich handelt und warum die Lage so ernst ist.
Das BSI schlägt Alarm und ruft eine Cyber-Sicherheitswarnung der Warnstufe Rot aus.
Seit dem 10.12.2021 berichten alle namhaften Online-Medien von einer „Log4j-Zero-Day-Lücke“. „Log4j“ ist eine Software aus der Java-Welt, die oft und gerne verwendet wird. „Zero-Day“ bezieht sich auf die unschöne Tatsache, dass die Sicherheitslücke öffentlich bekannt wurde, bevor es einen Patch dafür gab. Bevorzugtes Angriffsziel sind Server, aber auch alle möglichen anderen vernetzten Geräte. Deshalb also die dringlichen Warnungen des BSI und die hektische Betriebsamkeit in den vielen IT-Fachabteilungen.
Worin besteht die besondere Gefahr von „Log4j“?
Log4j (=Protokoll-Auswertung für Java) ist eine beliebte Protokollierungsbibliothek für Java. Sie dient der Verarbeitung von Protokolldaten einer beliebigen (auch nicht-Java-) Anwendung. Für alle Nicht-Tekkies übersetzt heißt das: „Log4j“ ist eine Software, die unter Java-läuft. Diese Software arbeitet auf sämtlichen gebräuchlichen Betriebs-System- und Hardware-Plattformen. Also sowohl auf Servern als auch auf Nutzer-Endgeräten wie PCs, IOT-Geräten oder sogenannten Smart Devices. Log4j findet also sehr häufig Verwendung. Oftmals ist ihr Einsatz nicht einfach zu erkennen. Auf den Punkt gebracht bedeutet dies: Ein Angriff über die Log4j-Lücke ist sehr einfach durchzuführen und fast jede vernetzte Hardware ist gefährdet. Und damit findet das Übel eine weite Verbreitung.
Bei erfolgreichem Angriff übernehmen Cyberkriminelle sowohl das jeweilige lokale Gerät und können auch beliebige weitere Geräte infizieren. Nach der Infektion können sie beliebige Codes auf dem lokalen Rechner ausführen und weiteren Schadcode nachladen. Zum Beispiel können sie Rechnerressourcen für das Schürfen von Cryptowährungen blockieren (das war tatsächlich das erste Angriffs-Szenario). Oder sie greifen auf die gängige Methode der Verschlüsselung von Speichermedien zurück und erpressen dann ihre Opfer um hohe Geldbeträge. In jedem Fall legen sie dadurch ganze Server- und Netzwerksysteme lahm. Der eigentliche Angriff kann sehr leicht mit einem einzigen Kommando oder einen einzigen Aktion ausgeführt werden, z. B. durch die Eingabe einer bestimmte Zeichenkette bei der Umbenennung eines iPhones. Die Gefährdung besteht sowohl bei Geräten mit als auch ohne direktem Internet-Zugang. Das ist wohl auch der Grund, warum sonst eher gelassenen IT-Sicherheitsspezialisten Sätze wie „Ja Leute, die Scheiße brennt lichterloh“ von sich geben.
Wie erkennt man die Gefährdung? Und was kann man tun?
Als erste akute Maßnahme empfahl das BSI kurz gefasst: nicht notwendige Systeme abschalten, Netzwerke segmentieren und verwundbare Systeme damit isolieren. Und vor allem alles loggen bzw. protokollieren, damit man kompromittierte Systeme erkennt. Wir empfehlen ein pro-aktives Vorgehen. Das ist kein Job für Laien, aber Ihre IT-Dienstleister wissen inzwischen, wonach sie suchen müssen. Dabei überprüfen sie sämtliche Geräte, ob eine Java-Laufzeitumgebung installiert ist. Genau genommen müssen sie alle installierten Softwares und Apps durchgehen und gezielt nach einer möglichen Installation der Software-Bibliothek „Log4j“ suchen. Ist diese tatsächlich installiert, dann stehen inzwischen sowohl für Java als auch für die meisten betroffenen Softwares entsprechende Updates zur Verfügung, welche die Sicherheitslücke schließen. Das ist ein ziemlich großer aber notwendiger Aufwand. Ob bis dahin bereits eine Hintertür (Backdoor) installiert wurde, wird damit leider noch nicht geklärt sein.
Geht das auch einfacher?
Wer bis heute bei der Anwendungsentwicklung auf Java aus gutem Grund verzichtet hat, der ist jetzt natürlich fein raus. So wie zum Beispiel der Hersteller unserer Fakturierungssoftware, dessen Versicherung, kein Log4j zu verwenden, absolut glaubhaft ist. Daher besteht in diesem Fall keine aktuelle Gefährdung. Dennoch müssen alle Hersteller sämtlicher installierten Software gefragt werden, ob ihre Software potentiell gefährdet ist. Auf die dann hoffentlich umgehend verfügbaren Antworten muss Verlass sein. Die darin enthaltenen Verhaltens-Anweisungen müssen dann auch zwingend befolgt werden.