Ungeschützt – ein kleines Stück Software setzt das Internet in Brand

Die Sicherheitslücke macht Behörden, Firmen und auch Privatpersonen angreifbar. Die grösseren Attacken kommen wohl erst noch.

Die IT-Sicherheitslücke Log4Shell (CVE-2021-44228) macht grosse Teile der digitalen Infrastruktur, Websites, Online-Anwendungen, vernetzte Geräte und weiteres durch einen Fehler im Softwarebaustein Log4j angreifbar.

Seit dem Wochenende ist die Lücke bekannt und nach und nach wurde klar, wie gravierend das Problem ist. Die Lücke hat im CVE-Score 10 von 10 möglichen Punkten erhalten, was ein immenses Schadpotential verspricht.

Log4j ist von so vielen Programmen ein integraler Teil, dass noch immer keine Übersicht herrscht, wo die Lücke überall vorhanden ist.

Arne Schönbohm, Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), sprach am Montag von einer "extrem kritischen Bedrohungslage", seine Behörde gab eine rote Warnmeldung aus. Das ist die höchste Stufe und zeigt, wie besorgt die Lücke die Behörden macht. Von einem "Fukushima-Moment für die IT-Sicherheit" sprach der Chef des US-amerikanischen Cybersicherheitsunternehmens Tenable in einem Blogpost. "Noch jahrelang" würden Organisationen weltweit mit den Folgen der Sicherheitslücke zu kämpfen haben.

Fehler im Logbuch

Sicherheitsforscherinnen und Sicherheitsforscher machten Ende vergangener Woche eine Lücke im Open-Source-Werkzeugkasten Log4j publik, einer Programmbibliothek für die Programmiersprache Java. Diese Sammlung von vorgefertigten Befehlen dient dazu, die Aktivitäten eines Programms zu protokollieren, während es läuft. Ein solches Log ist wichtig, um zum Beispiel im Nachhinein Fehler im Programmablauf zu finden. Ein Ereignisprotokoll, womit man nachvollziehen kann, was zwischen Ein- und Ausgabe des Programms im Hintergrund geschieht.

Protokolliert werden dabei auch Eingaben der Nutzerinnen und Nutzer, zum Beispiel eine Suchanfrage. Log4j schreibt diese Eingabe nicht einfach nur ins Logbuch, sondern interpretiert sie unter Umständen auch inhaltlich. Gibt man nun den richtigen Befehl ein, kann man das Programm dazu bringen, eine Verbindung zu einem anderen Server aufzubauen, zum Beispiel zu einem, von dem dann schädliche Software heruntergeladen wird. Der Fachbegriff für diese Angriffsart lautet Remote Code Execution – ferngesteuerte Codeausführung. Unter Umständen kann man so einen Server komplett kapern.

Erschwerend kommt hinzu: Einigen betroffenen Firmen könnte gar nicht bewusst sein, dass sie durch die Sicherheitslücke angreifbar sind, zum Beispiel kleine und mittelständische Unternehmen. Genau das zu klären, ist aber der wohl wichtigste erste Schritt, um die Sicherheit der eigenen Systeme und aller Kundinnen und Kunden zu gewährleisten. "Im Grunde sollte jede Organisation, die Serverinfrastruktur betreibt, überprüfen, ob sie Log4j verwendet und möglicherweise betroffen ist", sagt Karsten Hahn, Computervirenanalyst von der IT-Sicherheitsfirma G-Data.

Die eigentlichen Angriffe kommen erst noch

"Erste erfolgreiche Angriffe" seien öffentlich gemeldet worden, sagte BSI-Chef Schönbohm am Montag. Dabei handle es sich zum Beispiel um Kompromittierungen durch Kryptominer und Botnetze. Botnetze nutzen fremde Rechenleistung für ihre Zwecke. Kryptominer, also Menschen, die mithilfe von Rechenleistung digitale Währungen wie Bitcoin schürfen, können diese zusätzlichen Kapazitäten etwa einsetzen, um noch mehr digitales Geld zu kreieren.

Es ist aber davon auszugehen, dass das, was bisher beobachtet wurde, erst der Anfang ist. Viele professionelle Angreifer nutzen solche Lücken nicht, um sofort zuzuschlagen, sondern um einen Fuss in die Tür zu bekommen.

Diese Vorgehensweisen beobachteten Sicherheitsforscher auch bereits bei anderen Sicherheitslücken: Angreifer platzieren während der kurzen Phase der Verwundbarkeit kleine Softwarestücke im System, auf die sie auch später noch zugreifen können. So ist es ihnen möglich, später in aller Ruhe ihren Angriff vorzubereiten.

Das heisst auch: Mit grosser Wahrscheinlichkeit ist bereits jetzt viel Schaden angerichtet. Je länger ein System noch ungeschützt am Netz hängt, desto grösser ist die Gefahr, dass es auch kompromittiert wird.

Was bedeutet das für mich?

Wie bereits erläutert, ist besonders für kleinere Unternehmen die Problematik vorhanden, dass der Überblick über alle verwendeten Softwares und Bausteine meist komplett fehlt.

Hier muss schnellstens angesetzt werden und gemeinsam mit Experten geklärt werden, inwiefern eine Verwundbarkeit vorliegt und wie diese geschlossen werden kann.

«Besser eine Lücke versuchen zu schliessen und dabei das Risiko eingehen, etwas kaputtzumachen. Ein nicht verfügbarer Dienst kann repariert werden, ein Datenleck kann nicht mehr rückgängig gemacht werden.» – Christoph Ackermann, Sicherheitsexperte von cubetech, anlässlich eines Vortrages zum Thema Sicherheit beim Bundesamt für Informatik am 4. November 2021

Ist meine Website bei cubetech sicher?

Ja, Deine Website ist, sofern sie bei uns gehostet wird, sicher. Wir verwenden für die Website die Programmiersprache PHP, welche durch die Lücke nicht betroffen ist. Auch die Server und die darauf eingesetzte Software, welche wir für das Hosting einsetzen, sind nicht betroffen.

Einzig unsere Enterprise Suche basiert auf der Java-basierten Software Elasticsearch, welche auch Log4j verwendet. Elasticsearch ist aber gemäss Herstellerangabe nicht direkt betroffen.

Ergänzung 16. Dezember 2021: Wir haben bereits auf die aktuellste Version von Elasticsearch inklusive Patches für Log4j aktualisiert.

Was kann ich jetzt tun?

Hol Dir Hilfe an Bord. Sei sicher, dass Du keinen Gefahren ausgesetzt bist.

Wir können Dich mit unseren Sicherheitsexperten unterstützen, die Lücken in Deiner IT-Landschaft zu finden und übernehmen dabei auch die Kommunikation mit Deinen IT-Dienstleistern.

Melde Dich umgehend, wir können Dir eine Paketlösung anbieten, in welcher wir Dir umfassend zur Seite stehen können. Das Ergebnis und die notwendigen Schritte bereiten wir für die Verantwortlichen (z.B. Geschäftsleitung, Verwaltungsrat, Aktionäre, Inhaber) auf.

Titelbild: Adi Goldstein auf Unsplash