„Log4j“: Dieser Begriff sorgt momentan mächtig für Schlagzeilen. Denn eine Sicherheitslücke hält die IT-Branche in Atem. Sie ist ein Schlupfloch und ein gefundenes Fressen für Cyberkriminelle. Aber was ist das überhaupt – dieses Log4j? Wir erklären die Hintergründe.
„Verheerende Log4j-Schwachstelle“, „Das perfekte trojanische Pferd“ oder „Wer löscht, wenn es im Internet brennt?“: Das Thema Log4j hält momentan nicht nur die IT-Welt, sondern auch die Medienbranche in Atem. Grund dafür ist eine verheerende Sicherheitslücke im Netz: der Software-Baustein Log4j.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deshalb sogar die höchste Warnstufe „rot“ ausgerufen. Denn laut den Einschätzungen des BSI sei die Log4j-Schwachstelle eine extrem kritische Bedrohungslage. Aber was bedeutet das im Detail?
Was ist eigentlich Log4j?
Log4j ist ein Software-Baustein, der in der Programmiersprache Java geschrieben wurde. Wenn Entwickler:innen eine neue Software schreiben wollen, starten sie dabei nicht immer bei Null. Sie greifen auf sogenannte Bibliotheken zurück, die sie in ihre Software integrieren können.
Einige dieser Bibliotheken bestehen wiederum aus kleineren Bausteinen, die im Web frei verfügbar sind. Viele Entwickler:innen schreiben diese sogenannte Open-Source-Software in ihrer Freizeit und stellen sie ihren Kolleg:innen im Netz zur Verfügung.
Doch neben der eigentlichen Programmierarbeit müssen solche Software-Bausteine auch immer wieder auf Schwachstellen überprüft werden. Da das sehr aufwendig ist und vielen Entwickler:innen dazu die Zeit fehlt, vertrauen sie auf die Arbeit ihrer Kolleg:innen – teilweise mit fatalen Folgen.
Denn Sicherheitslücken und Fehler bleiben so oftmals unentdeckt, während sich die Bausteine im Netz verbreiten. Genau so eine Sicherheitslücke wurde im Nachhinein beim Software-Baustein Log4j entdeckt. Die Schwachstelle erhielt auch prompt einen Namen: Log4Shell.
Wie funktioniert der Software-Baustein?
Java ist nach Python die zweithäufigste Programmiersprache der Welt. Innerhalb der Java-Umgebung gilt der Software-Baustein Log4j dabei als weit verbreitet. Denn das Framework protokolliert die Anmeldedaten einer Anwendung.
Heißt konkret: Log4j ist wie eine Art Türsteher und stellt beispielsweise fest, wann Nutzer:innen eine Webseite aufrufen oder sich anmelden.
Normalerweise protokolliert das Java-Framework Anmeldungen und Webseitenaufrufe in einer Liste – beispielsweise auf Basis von Usernamen. Aufgrund der Sicherheitslücke Log4Shell haben Cyberkriminelle allerdings die Möglichkeit, dass Programm dazu zu bringen, auch Codeschnipsel zu protokollieren.
Die wiederum können bestimmte Befehle in Form von URLs beinhalten. Hacker:innen können so beispielsweise auf bösartige Server weiterleiten, um eine Schadsoftware zu installieren. Anschließend stehen ihnen im Prinzip alle Türen offen. Sie können Daten abgreifen, weiter in das System eindringen oder es sogar zum Absturz bringen.
Eigentlich sollte eine Logging-Anwendung wie Log4j mit solchen Angriffen klarkommen. Allerdings bietet die Schwachstelle Cyberkriminellen gewissermaßen ein Einfallstor, um mit einfachsten Mitteln ein System zu infiltrieren.
Wen betrifft Log4Shell und wie kann man sich schützen?
Die Liste der namhaften Unternehmen, die den Software-Baustein Log4j nutzen, ist lang. Neben Tech-Konzernen wie Apple, Amazon, Google und Tesla nutzen auch mehrere deutsche Behörden die Logging-Anwendung. Laut BSI ist das Ausmaß der Bedrohungslage momentan noch nicht abschließend feststellbar.
Die Sicherheitslücke Log4Shell stelle demnach aber vor allem eine Gefahr für Unternehmen und die Betreiber:innen von Rechenzentren und Servern dar. Allerdings könnten auch Verbraucher:innen Schaden davontragen – beispielsweise dann, wenn auf privaten Geräten verwundbare Versionen von Log4j zum Einsatz kommen.
Doch selbst wenn das nicht der Fall ist, können Verbraucher:innen betroffen sein. Zum Beispiel dann, wenn ihre Daten über bestimmte Dienste gestohlen werden oder ihre Systeme ausfallen.
Das BSI empfiehlt eine Bestandsaufnahme samt Update
Mittlerweile gibt es mehrere Updates, mit denen Betroffene ihr System besser schützen können. Das BSI empfiehlt aber nicht nur das neuste Update, sondern rät auch zu einer Bestandsaufnahme, um Systeme zu identifizieren, die Log4j nutzen.
Das Problem: Der Software-Baustein wird von mehreren Millionen Servern verwendet.
Zahlreiche Unternehmen und Betreiber:innen dürften dabei noch nicht einmal wissen, dass sie ein System nutzen, das auf Log4j setzt. Viele werden das womöglich erst bemerken, wenn sie selbst Opfer geworden sind. Ein weiteres Problem: Log4Shell stellt auch langfristig eine Gefahr dar.
Denn Cyberkriminelle könnten die Schwachstelle ausnutzen, um eine Hintertür in betroffenen Systemen einzubauen. Sie könnten beispielsweise zunächst unbemerkt eine Schadsoftware einschleusen, um diese erst später zu aktivieren – auch nach einem Update.
Die Angriffe durch Log4j häufen sich?
Laut BSI sei mittlerweile ein regelrechter Wettlauf zwischen Angreifern und Verteidigern entstanden. Nach Bekanntwerden der Sicherheitslücken seien breitflächige Scans durchgeführt worden, um verwundbare Systeme zu identifizieren. Zwar sind Verbraucher:innen bisher kaum betroffen.
Allerdings rechnet das BSI mit einer regelrechten Angriffswelle. Laut einem Bericht des Tech-Blogs The Record haben sich beispielsweise auch die Cyberkriminellen der Erpressergruppe Conti ihren Hut in den Ring geworfen. Die Hacker:innen würden demnach gezielt gefährdete Systeme identifizieren und mit einer Schadsoftware infiltrieren.
Als „Anbieter“ von „Ransomware-as-a-Service“ vermieten die Cyberkriminellen ihre Software weiter. Potenzielle Käufer:innen nutzen sie anschließend für ihre Zwecke, bringen Systeme zum Absturz oder erpressen Lösegeld gegen Daten.
Einen ersten großen Angriff verzeichnete kürzlich unter anderem das belgische Verteidigungsministerium. Um die Kontrolle zurückzuerlangen, musste die Behörde Teile ihrer Systems kurzzeitig abschalten. Wer hinter dem Angriff steckt, ist allerdings noch unklar.
Auch interessant:
