Die Schwachstelle Log4Shell in der weit verbreiteten Java-Bibliothek Log4j lässt zu, dass Hacker in Rechensysteme beispielsweise von Unternehmen eindringen. Kriminelle können dadurch eigenen Programmcode einschleusen und Schadsoftware ausführen, etwa um die Kontrolle über das System zu übernehmen oder Daten abzugreifen. Nach Einschätzung des BSI führt diese Sicherheitslücke zu einer extrem kritischen Bedrohungslage und wurde somit auf Warnstufe Rot gesetzt. Die weltweite Verunsicherung ist groß. Welche Systeme betroffen sind und wie Sie dagegen vorgehen können erfahren Sie hier.
Welche Systeme sind betroffen?
Laut BSI ist nicht bekannt, in wie vielen Anwendungen Log4j verwendet wird, da das betroffene Programm weit verbreitet ist und die damit verbundenen Auswirkungen auf unzählige weitere Produkte überlaufen. Cyberexperten und Sicherheitsbehörden weltweit überprüfen aktuell, welche Systeme betroffen und verwundbar sind.
Experten gehen derzeit davon aus, dass Log4j in der Version 2.0 bis 2.15 die besagte Schwachstelle enthält. Immer mehr Hersteller und Betreiber informieren darüber, dass ihre Systeme betroffen waren und jetzt Updates zur Verfügung stellen. Neben großen Clouddiensten und Unternehmensservern wird die anfällige Software aber auch von kleinen und mittelständischen Firmen genutzt. Laut BSI führt die Schwachstelle „eventuell zur Verwundbarkeit von global mehreren Milliarden Computern.“
Auch wir haben unsere Systeme sofort untersucht und unsere Kunden können beruhigt sein. eEvolution nutzt die Log4j-Bibliothek nicht und ist somit nicht von der Schwachstelle betroffen.
Was können Sie nun tun?
Prüfen Sie, ggf. mit Unterstützung von Herstellern und IT-Partnern, ob weitere Systeme bei Ihnen betroffen sind. Systemadministratoren und Entwickler sollten umgehend ein Update auf die aktuelle Version von Log4j in allen Anwendungen durchführen. Dabei ist die Version 2.17 zu bevorzugen. Die Log4Shell Schwachstelle wurde zwar bereits in Version 2.16 geschlossen, am 16.12.2021 ist jedoch eine weitere, weniger schwer wiegende Sicherheitslücke bekannt geworden, die nun mit Version 2.17 geschlossen wurde. Ebenso sollten auch alle weiteren, nicht offensichtlich betroffenen Geräte und Dienste mit Softwareaktualisierungen versehen werden.
Das BSI rät weiterhin dazu, Systeme, die nicht dringend benötigt werden, abzuschalten. Systemadministratoren können zudem betroffene Anwendungen und Dienste auf vorhandene Rechte prüfen und diese beschränken, so kann Hackern der Zugriff erschwert werden. Des Weiteren sollten laut BSI Server nur solche Verbindungen ins Internet aufbauen, die für den Einsatzzweck zwingend notwendig sind.
Das ganze Ausmaß der Bedrohung ist nach Einschätzung des BSI immer noch nicht abschließend bekannt. Denn auch mit dem Sicherheits-Update der Java-Bibliothek Log4j müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Die Java-Bibliothek ist ein Software-Modul, welches zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Somit ist sie oftmals tief in der Architektur von Software-Produkten verankert.
Sie haben Fragen zu Ihrer IT Sicherheit?
Bei Unsicherheiten oder Fragen können Sie sich selbstverständlich jederzeit Unterstützung bei uns holen. Wir beraten Sie gern!