Hinter dieser für nicht IT-Affine wenig sagenden Überschrift steht eine IT-Sicherheitslücke, die das BSI dazu veranlasst hat diesbezüglich die Warnstufe Rot auszurufen: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=6. Warnstufe Rot definiert das BSI folgendermaßen: „Die Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht eingehalten werden.“

Log4j ist eine Java-Bibliothek, welche in vielen Diensten und Anwendungen zum Loggen von Anwendungsmeldungen genutzt wird. Eine Zero-Day-Sicherheitslücke ist eine Schwachstelle, welche bereits vor der Entdeckung durch den Hersteller/die Nutzer einem Entdecker bekannt war, der diese Information ggf. für eigene Zwecke zu nutzen versucht. Da sehr viele Anbieter log4j nutzen, ist derzeit noch nicht absehbar, welches Ausmaß die Sicherheitslücke hat und bei welchen Anbietern sie vorkommt. Bisher konnte die Lücke bereits bei Anbietern wie Google, Amazon, Webex, Apple, LinkedIn, Twitter oder Tencent festgestellt werden.

Durch die Sicherheitslücke können Angreifer auf einfachem Wege Krypto-Miner oder gefährliche Hintertürprogramme auf den Systemen installieren und so Zugriff erlangen. Es ist bereits zu beobachten, dass Systeme von potenziellen Angreifern auf die Sicherheitslücke umfangreich gescannt werden. Da zunächst vermutlich die Systeme der Dienstanbieter angegriffen werden, ist die Bedrohung für Nutzer nicht unmittelbar, kann allerdings auch nicht ausgeschlossen werden.

Gegenmaßnahmen:

Zunächst ist darauf hinzuweisen, dass es für die Schließung dieser Sicherheitslücke keine einfache Lösung geben und uns das Problem noch einige Zeit beschäftigen wird. Daher werden es in nächster Zeit eine Reihe von Updates von betroffenen Anbietern erreichen, welche dann auch zeitnah installiert werden sollten.

Das BSI hat in seiner Warnung (https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=6) zudem eine Reihe von Maßnahmen aufgeführt, die den IT-Verantwortlichen vorgelegt werden können und die, wenn möglich/anwendbar umgesetzt werden sollten.

Zudem hat „heise online“ bereits einen lesenswerten Ratgeber zu Ursache und Gegenmaßnahmen verfasst: https://www.heise.de/ratgeber/Schutz-vor-Log2j-Luecke-was-hilft-jetzt-und-was-eher-nicht-6292961.html

Die Warnung des BSI sollte nicht auf die leichte Schulter genommen werden, die Sicherheitslücke hat ein bisher noch nicht bestimmbares Ausmaß. Sowohl Angreifer als auch IT-Sicherheitsexperten liefern sich derzeit ein Wettrennen darum, wann die Schwachstelle genutzt bzw. geschlossen werden kann.

Die vorgeschlagenen Maßnahmen sollten deshalb, falls möglich, umgesetzt werden. Zudem wird es für die nächste Zeit sinnvoll sein, sich diesbezüglich auf dem Laufenden zu halten und die IT-Verantwortlichen einzubinden.