Technologie

Software-Baustein und Sicherheitsrisiko: Was ist eigentlich Log4j?

Java, Sicherheitslücke, Software, Log4j
Unsplash.com/ Pavel Ulanovskiy
geschrieben von Fabian Peters

„Log4j“: Dieser Begriff sorgt momentan mächtig für Schlagzeilen. Denn eine Sicherheitslücke hält die IT-Branche in Atem. Sie ist ein Schlupfloch und ein gefundenes Fressen für Cyberkriminelle. Aber was ist das überhaupt – dieses Log4j? Wir erklären die Hintergründe. 

„Verheerende Log4j-Schwachstelle“, „Das perfekte trojanische Pferd“ oder „Wer löscht, wenn es im Internet brennt?“: Das Thema Log4j hält momentan nicht nur die IT-Welt, sondern auch die Medienbranche in Atem. Grund dafür ist eine verheerende Sicherheitslücke im Netz: der Software-Baustein Log4j.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deshalb sogar die höchste Warnstufe „rot“ ausgerufen. Denn laut den Einschätzungen des BSI sei die Log4j-Schwachstelle eine extrem kritische Bedrohungslage. Aber was bedeutet das im Detail?

Was ist eigentlich Log4j?

Log4j ist ein Software-Baustein, der in der Programmiersprache Java geschrieben wurde. Wenn Entwickler:innen eine neue Software schreiben wollen, starten sie dabei nicht immer bei Null. Sie greifen auf sogenannte Bibliotheken zurück, die sie in ihre Software integrieren können.

Einige dieser Bibliotheken bestehen wiederum aus kleineren Bausteinen, die im Web frei verfügbar sind. Viele Entwickler:innen schreiben diese sogenannte Open-Source-Software in ihrer Freizeit und stellen sie ihren Kolleg:innen im Netz zur Verfügung.

Doch neben der eigentlichen Programmierarbeit müssen solche Software-Bausteine auch immer wieder auf Schwachstellen überprüft werden. Da das sehr aufwendig ist und vielen Entwickler:innen dazu die Zeit fehlt, vertrauen sie auf die Arbeit ihrer Kolleg:innen – teilweise mit fatalen Folgen.

Denn Sicherheitslücken und Fehler bleiben so oftmals unentdeckt, während sich die Bausteine im Netz verbreiten. Genau so eine Sicherheitslücke wurde im Nachhinein beim Software-Baustein Log4j entdeckt. Die Schwachstelle erhielt auch prompt einen Namen: Log4Shell.

Wie funktioniert der Software-Baustein?

Java ist nach Python die zweithäufigste Programmiersprache der Welt. Innerhalb der Java-Umgebung gilt der Software-Baustein Log4j dabei als weit verbreitet. Denn das Framework protokolliert die Anmeldedaten einer Anwendung.

Heißt konkret: Log4j ist wie eine Art Türsteher und stellt beispielsweise fest, wann Nutzer:innen eine Webseite aufrufen oder sich anmelden.

Normalerweise protokolliert das Java-Framework Anmeldungen und Webseitenaufrufe in einer Liste – beispielsweise auf Basis von Usernamen. Aufgrund der Sicherheitslücke Log4Shell haben Cyberkriminelle allerdings die Möglichkeit, dass Programm dazu zu bringen, auch Codeschnipsel zu protokollieren.

Die wiederum können bestimmte Befehle in Form von URLs beinhalten. Hacker:innen können so beispielsweise auf bösartige Server weiterleiten, um eine Schadsoftware zu installieren. Anschließend stehen ihnen im Prinzip alle Türen offen. Sie können Daten abgreifen, weiter in das System eindringen oder es sogar zum Absturz bringen.

Eigentlich sollte eine Logging-Anwendung wie Log4j mit solchen Angriffen klarkommen. Allerdings bietet die Schwachstelle Cyberkriminellen gewissermaßen ein Einfallstor, um mit einfachsten Mitteln ein System zu infiltrieren.

Wen betrifft Log4Shell und wie kann man sich schützen?

Die Liste der namhaften Unternehmen, die den Software-Baustein Log4j nutzen, ist lang. Neben Tech-Konzernen wie Apple, Amazon, Google und Tesla nutzen auch mehrere deutsche Behörden die Logging-Anwendung. Laut BSI ist das Ausmaß der Bedrohungslage momentan noch nicht abschließend feststellbar.

Die Sicherheitslücke Log4Shell stelle demnach aber vor allem eine Gefahr für Unternehmen und die Betreiber:innen von Rechenzentren und Servern dar. Allerdings könnten auch Verbraucher:innen Schaden davontragen – beispielsweise dann, wenn auf privaten Geräten verwundbare Versionen von Log4j zum Einsatz kommen.

Doch selbst wenn das nicht der Fall ist, können Verbraucher:innen betroffen sein. Zum Beispiel dann, wenn ihre Daten über bestimmte Dienste gestohlen werden oder ihre Systeme ausfallen.

Das BSI empfiehlt eine Bestandsaufnahme samt Update

Mittlerweile gibt es mehrere Updates, mit denen Betroffene ihr System besser schützen können. Das BSI empfiehlt aber nicht nur das neuste Update, sondern rät auch zu einer Bestandsaufnahme, um Systeme zu identifizieren, die Log4j nutzen.

Das Problem: Der Software-Baustein wird von mehreren Millionen Servern verwendet.

Zahlreiche Unternehmen und Betreiber:innen dürften dabei noch nicht einmal wissen, dass sie ein System nutzen, das auf Log4j setzt. Viele werden das womöglich erst bemerken, wenn sie selbst Opfer geworden sind. Ein weiteres Problem: Log4Shell stellt auch langfristig eine Gefahr dar.

Denn Cyberkriminelle könnten die Schwachstelle ausnutzen, um eine Hintertür in betroffenen Systemen einzubauen. Sie könnten beispielsweise zunächst unbemerkt eine Schadsoftware einschleusen, um diese erst später zu aktivieren – auch nach einem Update.

Die Angriffe durch Log4j häufen sich?

Laut BSI sei mittlerweile ein regelrechter Wettlauf zwischen Angreifern und Verteidigern entstanden. Nach Bekanntwerden der Sicherheitslücken seien breitflächige Scans durchgeführt worden, um verwundbare Systeme zu identifizieren. Zwar sind Verbraucher:innen bisher kaum betroffen.

Allerdings rechnet das BSI mit einer regelrechten Angriffswelle. Laut einem Bericht des Tech-Blogs The Record haben sich beispielsweise auch die Cyberkriminellen der Erpressergruppe Conti ihren Hut in den Ring geworfen. Die Hacker:innen würden demnach gezielt gefährdete Systeme identifizieren und mit einer Schadsoftware infiltrieren.

Als „Anbieter“ von „Ransomware-as-a-Service“ vermieten die Cyberkriminellen ihre Software weiter. Potenzielle Käufer:innen nutzen sie anschließend für ihre Zwecke, bringen Systeme zum Absturz oder erpressen Lösegeld gegen Daten.

Einen ersten großen Angriff verzeichnete kürzlich unter anderem das belgische Verteidigungsministerium. Um die Kontrolle zurückzuerlangen, musste die Behörde Teile ihrer Systems kurzzeitig abschalten. Wer hinter dem Angriff steckt, ist allerdings noch unklar.

Auch interessant: 

Werbung

Über den Autor

Fabian Peters

Fabian Peters ist seit Januar 2022 Chefredakteur von BASIC thinking. Zuvor war er als Redakteur und freier Autor tätig. Er studierte Germanistik & Politikwissenschaft an der Universität Kassel (Bachelor) und Medienwissenschaften an der Humboldt-Universität zu Berlin (Master).

4 Kommentare

  • Lieber Herr Peters,

    Sie haben versäumt, das Wort „Anbieter“ in Ihrem Artikel zu gendern. Das ist unverzeihlich!

    Viele Grüße
    Eberhard Däuble

    • Lieber Herr Däuble,

      ich bin untröstlich! Allerdings liegt hier ein Missverständnis vor. Denn die Anführungszeichen sind kein Zufall, sondern Teil einer ausgeklügelten Strategie. Ohnehin gendern wir nämlich nur, um einige Leser:innen gelegentlich an die Presse- und Meinungsfreiheit zu erinnern.

      Dennoch vielen Dank für Ihren Kommentar.

      Herzliche Grüße & besinnliche Feiertage.
      Fabian Peters

    • Hallo Herr Däuble,

      das sehe ich als einen netten, neckischen Hinweis 😉
      Denn an einer einzelnen Stelle etwas zu übersehen ist menschlich.

      Danke für die Gelegenheit zum Schmunzeln
      Heinz Donaubauer

  • Ich lese in dem Artikel so einen Unterton in dem auf Vermeintlich schlechte Entwicklung von Open Source Software zumindest in Bezug auf Sicherheitslücken verwiesen wird, Absatz:
    „Doch neben der eigentlichen Programmierarbeit müssen solche Software-Bausteine auch immer wieder auf Schwachstellen überprüft werden…“ folgende.

    Solche Zusammenhänge sind vielleicht etwas an den Haaren herbeigezogen zumal es sich bei log4j um eine Entwicklung der Apache Foundation handelt.

    Außerdem ist auch bei Nicht-Open-Source-Software nicht ausgeschlossen, dass es solche Lücken gibt, weil nicht jede Firma die Close-Source Software entwickelt ihre Software in dieser Hinsicht prüfen lässt.
    Der Unterschied ist nur, dass man es dort nicht so einsehen kann, weil dies gar nicht kommuniziert wird.

    Das Problem solcher Sicherheitslücken besteht aus meiner Sicht eher in der Modularität der Softwareentwicklung.
    Jeder baut halt irgend welche Frameworks in seine Software ein, ohne überhaupt zu wissen was diese im einzelnen alles machen/können.
    Aber das ist nur eine Theorie eines Nichtentwicklers.

    Und je verbreiteter ein Modul/Framework ist, umso größer ist natürlich bei einer Sicherheitslücke auch der potenzielle Schaden.
    Das hat aber nichts damit zu tun, ob dieses Open Source entwickelt wurde oder nicht.

    Wünsche schöne Feiertage.

Kommentieren