Die Log4j-Sicherheitslücke bedroht unzählige IT-Systeme. Angreifer können von der Schwachstelle aus betroffene Systeme leicht infiltrieren und erhebliche Schäden anrichten. Diese schließen Diebstahl oder Verschlüsselung von Daten mit anschließender Erpressung ein.
Schon jetzt ist sich die Fachwelt darüber einig, dass die Log4j-Lücke eine der größten Schwachstellen aller Zeiten ist. Denn Angreifer können nicht nur große Schäden hervorrufen, zugleich ist die Anzahl der anfälligen Systeme immens. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die höchste Warnstufe 4/Rot ausgerufen.
Die Log4j Problematik erklärt
Dreh- und Angelpunkt des Geschehens ist Java. Hinter diesem Namen verbirgt sich eine standardisierte Software-Plattform, die auf einem breiten Spektrum an Computersystemen lauffähig ist. Daher befindet sich Java auf unzähligen Systemen im Einsatz, wie z.B. auf Desktop-Computern, Servern und IoT (Internet of things) Devices.
Die Mehrheit der Java-Installationen ist mit der Log4j-Bibliothek ausgestattet. Als sogenannter Logger dokumentiert sie Fehlerereignisse, um Administratoren und Entwickler bei der Fehlerbehebung zu unterstützen.
In guter Absicht wurde Log4j vor einigen Jahren mit einer Funktion ausgestattet, die sogenanntes Remote-Laden ermöglicht. So befindet sich die Java-Bibliothek in der Lage, weitere Informationen bzw. sogar ausführbaren Code von externen Servern zu laden. Leider ist hierbei jedoch nicht zwangsläufig eine Sicherheitsschranke aktiviert, was Cyberkriminelle nun ausnutzen.
Die Angreifer suchen nach Systemen, denen sie mittels Log4j manipulierten Code unterschieben können. Sobald eine Java-Plattform solchen Code ausführt, lässt sich Kontrolle über das System erlangen.
Dieser Schaden droht im Ernstfall
Erste Auswertungen belegen ein intensives Engagement von Cyberkriminellen. Die Mehrheit durchforstet das Web automatisiert nach Systemen, die aufgrund ihrer Konfiguration ein Ausnutzen der Log4j-Sicherheitslücke ermöglichen. Einige greifen daraufhin selbst an, andere verkaufen die entsprechenden Daten wiederum an andere Cyberkriminelle.
Derzeit werden infiltrierte Systeme vor allem für das Crypto-Mining genutzt. Die Angreifer installieren Software, welche die Rechenleistung der Systeme ihrer Opfer nutzt, um das sonst stromhungrige und damit kostenintensive Mining von Kryptowährungen zu betreiben.
Aber das ist nicht alles. Experten für IT-Sicherheit gehen davon aus, dass spezialisierte Angreifer derzeit die Systeme ihrer Opfer im Hintergrund übernehmen. Sie bereiten spätere Angriffe vor, in deren Rahmen z.B. sämtliche auf den Systemen befindliche Daten verschlüsselt werden, um daraufhin Geld zu erpressen. Ebenso könnten aber auch Daten ausgewertet und gestohlen werden, um diese beispielsweise an Wettbewerber der Opfer zu verkaufen.
Wer sind die Opfer?
Zu den Opfern zählen primär die Betreiber von Servern. Sobald ein Unternehmen eigene Server mit Java betreibt, wird es gefährlich. Als am vergangenen Freitag die Schwachstelle publik wurde, schwitzten vor allem die Administratoren von IT-Unternehmen. Insbesondere die Anbieter von Cloud-Diensten hatten alle Hände voll zu tun, um ihre Systeme abzusichern.
Doch auch kleine Unternehmen können betroffen sein. Entscheidend ist letztlich, welche Systeme sich im Einsatz befinden.
Wie können sich Unternehmen absichern?
Zunächst gilt es in Erfahrung zu bringen, ob die eigenen Systeme betroffen sind. Sollte dies der Fall sein, müssen geeignete Sicherheitsmaßnahmen getroffen werden, wie z.B. eine Deaktivierung des Loggers, das Unterbinden bestimmter Aufrufe oder ein Update auf Log4j 2.16.0.
Aber damit ist die Sache noch nicht erledigt. Schließlich besteht das Risiko, dass ein System bereits kompromittiert wurde. Über ergänzende Sicherheits-Scans kann z.B. ermittelt werden, ob Fremdcode in die Systeme eingeschleust wurde. Falls solch ein Scan positiv ausfällt, ist höchste Vorsicht angebracht. Dann können viele weitere Maßnahmen erforderlich sein, die beispielsweise mit einer Ermittlung und Bewertung möglicher Folgerisiko einhergehen.