 |
# taz.de -- Sicherheitslücke Log4Shell: Warnstufe Rot |
|
|
|
> Die Sicherheitslücke Log4jShell gefährdet weltweit Millionen |
|
> Online-Anwendungen und Apps. Nicht wenige warnen vor drastischen Folgen. |
|
|
 |
Bild: Auch das Onlinespiel Minecraft ist von der Sicherheitslücke betroffen |
|
|
|
Berlin taz | Es passiert nicht oft, dass das Bundesamt [1][für Sicherheit |
|
in der Informationstechnik (BSI)] eine Schwachstelle mit ihrer höchsten |
|
Warnstufe Rot versieht. Doch so eine Sicherheitslücke existiert seit dem |
|
letzten Wochenende. Die Sicherheitslücke Log4Shell gefährdet weltweit |
|
Millionen Online-Anwendungen und Apps und öffnet damit Hacker:innen die |
|
Tür in Computersysteme in aller Welt. Es handelt sich um einen fehlerhaften |
|
Code aus einer Java-Bibliothek namens Log4j. Die Version 1.0 wurde vor fast |
|
21 Jahren veröffentlicht. Seitdem gehört Log4j zum Standard für sogenannte |
|
Logging-Beobachtungen: Das Programm protokolliert, wer mit der Software |
|
arbeitet und wer auf welche Server zugreift. Mit den Daten sollen Fehler |
|
identifiziert werden. |
|
|
|
Die Bibliothek Log4j ist Open Source, also kostenfrei und ohne |
|
Lizenzgebühren nutzbar. Daher machen es sich Nutzer:innen oft einfach |
|
und verwenden die Software ohne zusätzliche Sicherheitsmaßnahmen. Was |
|
allerdings bedeutet, dass Hacker:innen schnell Zugang zum System |
|
bekommen können. Denn Angreifer:innen können ihren eigenen Code in die |
|
Software einsetzen und somit das System vollständig übernehmen. |
|
Mittlerweile ist dafür sogar ein eigenes Programm online verfügbar, das den |
|
Angriffsweg demonstriert. Hacking für Anfänger:innen sozusagen. |
|
|
|
Log4j wird weltweit genutzt: Apple nutzt es für seinen Speicherdienst |
|
iCloud, genauso wie das Onlinespiel Minecraft, Twitter, Amazon oder auch |
|
der Elektroautohersteller Tesla. Auch das besondere elektronische |
|
Anwaltspostfach (beA), mit welchem Rechtsanwält:innen ihre Dokumente an |
|
deutsche Gerichte übermitteln müssen, musste außer Betrieb genommen werden. |
|
Dort wird nun wieder gefaxt. In unserem Pandemiealltag kommt Log4j oft zum |
|
Einsatz: Häufig wird es dazu verwendet, den WLAN-Zugang zu verwalten. Kein |
|
Wunder also, dass das BSI am Samstagabend die Warnstufe Rot ausgerufen hat, |
|
für eine „extrem kritische IT-Sicherheitslage“. |
|
|
|
## Keine schönen Aussichten |
|
|
|
Viele empfinden die Lage als noch dramatischer. Der Chef der |
|
IT-Sicherheitsfirma Tenable, Amit Yorant, meint, es handele sich um die |
|
„schlimmste Sicherheitslücke des vergangenen Jahrzehnts“. „Das Internet |
|
brennt“, findet Adam Meyers, ein hochrangiger Manager der Firma |
|
Crowdstrike. Die vermuteten Auswirkungen und die derzeitige Faktenlage |
|
geben ihren drastischen Worten recht, denn diese dürften Monate, womöglich |
|
Jahre spürbar sein. Dabei können Endnutzer:innen derzeit kaum etwas |
|
tun, denn Log4j läuft nicht direkt auf ihren Smartphones oder Computern. |
|
Die jeweiligen IT-Abteilungen sind gefragt. Notfallmaßnahmen wurden am |
|
Wochenende mittels Zugangsbeschränkungen eingeleitet. |
|
|
|
Netzwerke wurden aufgeteilt und segmentiert, damit im Falle eines Angriffs |
|
nicht das gesamte Unternehmensnetz betroffen ist, Zugriffsrechte wurden |
|
eingeschränkt. Außerdem muss [2][die Sicherheitslücke schnellstmöglich |
|
geschlossen werden] und alle Hersteller von Softwareprodukten, die die |
|
Bibliothek Log4j verwenden, müssen Sicherheitsupdates ihrer Software |
|
herausgeben. Teilweise ist das schon passiert, andere arbeiten noch an |
|
ihren Updates. |
|
|
|
Die Maßnahmen und Auswirkungen werden alle Nutzer:innen zu spüren |
|
bekommen. Entweder weil Onlineservices vorübergehend abgeschaltet oder |
|
tatsächlich ganze Netzwerke gekapert werden. Die ersten Angriffe wurden |
|
bereits gemeldet und auch vom BSI bestätigt. Ein Teil dieser stammen von |
|
Sicherheitsexpert:innen, die überprüfen wollen, wo genau das Problem liegt. |
|
Allerdings wird auch von weltweiten Massenscans berichtet. |
|
|
|
Das bedeutet, dass Angreifer:innen das Internet automatisiert |
|
durchsuchen, um so nach Servern und Anwendungen zu suchen, die Log4j |
|
benutzen und damit ein leichtes Ziel sind. Auf den ersten Servern wurden |
|
schon Programme installiert, die sich die Rechenleistung des angegriffenen |
|
Servers zunutze machen, um Kryptowährungen zu schürfen. Zudem sind sich |
|
IT-Fachleute darüber einig, dass demnächst einige [3][Computernetze über |
|
einen Ransomware-Angriff lahmgelegt werden], wobei die Ransomware über |
|
diese Sicherheitslücke eingeschleust wird. |
|
|
|
[4][Wer sich die Lücke noch in welcher Form zunutze machen wird,] kann |
|
derzeit nicht final gesagt werden. Fakt ist, dass diese Sicherheitslücke |
|
potenzielle Täter:innen mit Kusshand nehmen, weil sie die Tür zu sehr |
|
vielen Daten und Möglichkeiten geöffnet hat. Die Auswirkungen werden |
|
deutlich größer sein, als ein paar Tage das verstaubte Faxgerät wieder |
|
herauszuholen. |
|
|
|
14 Dec 2021 |
|
|
|
## LINKS |
|
|
 |
[1] /Kriminaliaet-im-Internet/!5810097 |
|
[2] /Aufdecken-von-IT-Sicherheitsluecken/!5786765 |
|
[3] /Hackerangriffe-nehmen-weltweit-zu/!5774322 |
|
[4] /Cybercrime-und-Wirtschaftsschutz/!5784542 |
|
|
|
## AUTOREN |
|
|
|
Malaika Rivuzumwami |
|
|
|
## TAGS |
|
|
|
Hacker |
|
IT-Sicherheit |
|
Cyberkriminalität |
|
Datenschutz |
|
IT-Sicherheit |
|
Kolumne Digital Naives |
|
Cyberkriminalität |
|
Cybersicherheit |
|
Funke Mediengruppe |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Fehlerhafter Java-Code: Das Monster im Maschinenraum |
|
|
|
Eine Schwachstelle im System zeigt, wie wenig Beachtung die digitale |
|
Sicherheitsarchitektur bekommt. Schafft die Ampel die Kehrtwende? |
|
|
|
Cybersöldner-Firmen bei Facebook: Überwachung im Netz |
|
|
|
Über Meta-Plattformen wurden 50.000 Nutzer in den vergangenen Monaten |
|
ausspioniert oder gehackt. Dabei werden auch altbekannte Namen genannt. |
|
|
|
Statistik zu Kriminalität im Internet: BKA registriert mehr „Cybercrime“ |
|
|
|
Die Zahl krimineller Hackerangriffe stieg 2020 in Deutschland um etwa acht |
|
Prozent. Die Täter:innen agierten laut Behörden zunehmend professionell. |
|
|
|
Cyberkriminalität in den USA: 150.000 Sicherheitskameras gehackt |
|
|
|
Ein Hacker-Angriff auf Überwachungskameras hat offenbar Einblicke in |
|
Gefängnisse und Schulen ermöglicht. Auch Tesla soll betroffen sein. |
|
|
|
Hackerangriff auf Funke Mediengruppe: Kritische Infrastruktur |
|
|
|
Eine Cyberattacke blockiert seit sechs Tagen die Zeitungen des Essener |
|
Verlags Funke. Die Behörden stufen den Fall als besonders heikel ein. |
