Eine Meldung hält derzeit die IT-Welt in Atem: Es wurde eine kritische Sicherheitslücke in der freien Java-Bibliothek Log4j (Logging for Java) gefunden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einer extrem kritischen Bedrohungslage und ruft Warnstufe Rot für die bestehende Cybersicherheitswarnung aus.
Schwachstelle Log4Shell gefährdet viele Bereiche in IT und Internet
Ursächlich für diese Einschätzung ist die sehr große Verbreitung der Java-Bibliothek und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Die Schwachstelle ist zudem trivial ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar, so das BSI in einer Pressemeldung.
Eine erfolgreiche Ausnutzung der Schwachstelle ermögliche die vollständige Übernahme des betroffenen Systems. Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet. So berichtet zum Beispiel die Neue Züricher Zeitung von einem großen Schadensfall beim beliebten Computerspiel Minecraft von Microsoft. Hier habe eine Nachricht an Spieler im Chat ausgereicht, um sich einen Einstieg in den fremden Computer zu schaffen.
Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Das BSI empfiehlt insbesondere Unternehmen und Organisationen, die in der Cyber-Sicherheitswarnung skizzierten Abwehrmaßnahmen umzusetzen und alle Systeme auf eine Kompromittierung zu untersuchen, die verwundbar waren.
Java ist die am meisten verwendete Programmiersprache weltweit. Sie kommt auf unzähligen IT-Geräten, Servern und in entsprechenden Softwareanwendungen zum Einsatz. Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software-Produkten verankert.
Vermehrte Cyber-Angriffe zu Weihnachten erwartet
Auch abseits der aktuellen Gefahrenmeldung wegen Log4Shell schlagen BSI und BKA Alarm. Für die bevorstehenden Weihnachtsfeiertage bestehe ein erhöhtes Risiko für Cyber-Angriffe auf Unternehmen und Organisationen. Ursächlich hierfür ist der erneute Versand von Emotet-Spam sowie das aktive öffentliche Werben von Ransomware-Gruppierungen um kriminelle Mitstreiter.
Verschärft werde in diesem Fall die Bedrohung durch die weiterhin bestehende Verwundbarkeit vieler im Einsatz befindlicher Microsoft-Exchange-Server. Das BSI rät Unternehmen und Organisation eindringlich, angemessene IT-Sicherheitsmaßnahmen umzusetzen sowie noch ausstehende Sicherheits-Patches einzuspielen.
Neben präventiven Maßnahmen sollte zudem auch die Detektions- und Reaktionsfähigkeiten gestärkt werden. Funktionsfähige Backups und Notfallkonzepte können im Schadensfall Schlimmeres verhindern. Das BSI hat dazu die wichtigsten Erste-Hilfe-Maßnahmen bei einem IT-Sicherheitsvorfall zusammengestellt.
Weiterführende Informationen: https://www.bsi.bund.de