Ungeschützt – ein kleines Stück Software setzt das Internet in Brand

Acki-1024
Christoph Ackermann
adi-goldstein-EUsVwEOsblE-unsplash-scaled

Die Sicherheitslücke macht Behörden, Firmen und auch Privatpersonen angreifbar. Die grösseren Attacken kommen wohl erst noch.

Die IT-Sicherheitslücke Log4Shell (CVE-2021-44228) macht grosse Teile der digitalen Infrastruktur, Websites, Online-Anwendungen, vernetzte Geräte und weiteres durch einen Fehler im Softwarebaustein Log4j angreifbar.

Seit dem Wochenende ist die Lücke bekannt und nach und nach wurde klar, wie gravierend das Problem ist. Die Lücke hat im CVE-Score 10 von 10 möglichen Punkten erhalten, was ein immenses Schadpotential verspricht.

Log4j ist von so vielen Programmen ein integraler Teil, dass noch immer keine Übersicht herrscht, wo die Lücke überall vorhanden ist.

Arne Schönbohm, Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), sprach am Montag von einer "extrem kritischen Bedrohungslage", seine Behörde gab eine rote Warnmeldung aus. Das ist die höchste Stufe und zeigt, wie besorgt die Lücke die Behörden macht. Von einem "Fukushima-Moment für die IT-Sicherheit" sprach der Chef des US-amerikanischen Cybersicherheitsunternehmens Tenable in einem Blogpost. "Noch jahrelang" würden Organisationen weltweit mit den Folgen der Sicherheitslücke zu kämpfen haben.

Fehler im Logbuch

Sicherheitsforscherinnen und Sicherheitsforscher machten Ende vergangener Woche eine Lücke im Open-Source-Werkzeugkasten Log4j publik, einer Programmbibliothek für die Programmiersprache Java. Diese Sammlung von vorgefertigten Befehlen dient dazu, die Aktivitäten eines Programms zu protokollieren, während es läuft. Ein solches Log ist wichtig, um zum Beispiel im Nachhinein Fehler im Programmablauf zu finden. Ein Ereignisprotokoll, womit man nachvollziehen kann, was zwischen Ein- und Ausgabe des Programms im Hintergrund geschieht.

Protokolliert werden dabei auch Eingaben der Nutzerinnen und Nutzer, zum Beispiel eine Suchanfrage. Log4j schreibt diese Eingabe nicht einfach nur ins Logbuch, sondern interpretiert sie unter Umständen auch inhaltlich. Gibt man nun den richtigen Befehl ein, kann man das Programm dazu bringen, eine Verbindung zu einem anderen Server aufzubauen, zum Beispiel zu einem, von dem dann schädliche Software heruntergeladen wird. Der Fachbegriff für diese Angriffsart lautet Remote Code Execution – ferngesteuerte Codeausführung. Unter Umständen kann man so einen Server komplett kapern.

Erschwerend kommt hinzu: Einigen betroffenen Firmen könnte gar nicht bewusst sein, dass sie durch die Sicherheitslücke angreifbar sind, zum Beispiel kleine und mittelständische Unternehmen. Genau das zu klären, ist aber der wohl wichtigste erste Schritt, um die Sicherheit der eigenen Systeme und aller Kundinnen und Kunden zu gewährleisten. "Im Grunde sollte jede Organisation, die Serverinfrastruktur betreibt, überprüfen, ob sie Log4j verwendet und möglicherweise betroffen ist", sagt Karsten Hahn, Computervirenanalyst von der IT-Sicherheitsfirma G-Data.

Die eigentlichen Angriffe kommen erst noch

"Erste erfolgreiche Angriffe" seien öffentlich gemeldet worden, sagte BSI-Chef Schönbohm am Montag. Dabei handle es sich zum Beispiel um Kompromittierungen durch Kryptominer und Botnetze. Botnetze nutzen fremde Rechenleistung für ihre Zwecke. Kryptominer, also Menschen, die mithilfe von Rechenleistung digitale Währungen wie Bitcoin schürfen, können diese zusätzlichen Kapazitäten etwa einsetzen, um noch mehr digitales Geld zu kreieren.

Es ist aber davon auszugehen, dass das, was bisher beobachtet wurde, erst der Anfang ist. Viele professionelle Angreifer nutzen solche Lücken nicht, um sofort zuzuschlagen, sondern um einen Fuss in die Tür zu bekommen.

Diese Vorgehensweisen beobachteten Sicherheitsforscher auch bereits bei anderen Sicherheitslücken: Angreifer platzieren während der kurzen Phase der Verwundbarkeit kleine Softwarestücke im System, auf die sie auch später noch zugreifen können. So ist es ihnen möglich, später in aller Ruhe ihren Angriff vorzubereiten.

Das heisst auch: Mit grosser Wahrscheinlichkeit ist bereits jetzt viel Schaden angerichtet. Je länger ein System noch ungeschützt am Netz hängt, desto grösser ist die Gefahr, dass es auch kompromittiert wird.

Was bedeutet das für mich?

Wie bereits erläutert, ist besonders für kleinere Unternehmen die Problematik vorhanden, dass der Überblick über alle verwendeten Softwares und Bausteine meist komplett fehlt.

Hier muss schnellstens angesetzt werden und gemeinsam mit Experten geklärt werden, inwiefern eine Verwundbarkeit vorliegt und wie diese geschlossen werden kann.

«Besser eine Lücke versuchen zu schliessen und dabei das Risiko eingehen, etwas kaputtzumachen. Ein nicht verfügbarer Dienst kann repariert werden, ein Datenleck kann nicht mehr rückgängig gemacht werden.» – Christoph Ackermann, Sicherheitsexperte von cubetech, anlässlich eines Vortrages zum Thema Sicherheit beim Bundesamt für Informatik am 4. November 2021

Ist meine Website bei cubetech sicher?

Ja, Deine Website ist, sofern sie bei uns gehostet wird, sicher. Wir verwenden für die Website die Programmiersprache PHP, welche durch die Lücke nicht betroffen ist. Auch die Server und die darauf eingesetzte Software, welche wir für das Hosting einsetzen, sind nicht betroffen.

Einzig unsere Enterprise Suche basiert auf der Java-basierten Software Elasticsearch, welche auch Log4j verwendet. Elasticsearch ist aber gemäss Herstellerangabe nicht direkt betroffen.

Ergänzung 16. Dezember 2021: Wir haben bereits auf die aktuellste Version von Elasticsearch inklusive Patches für Log4j aktualisiert.

Was kann ich jetzt tun?

Hol Dir Hilfe an Bord. Sei sicher, dass Du keinen Gefahren ausgesetzt bist.

Wir können Dich mit unseren Sicherheitsexperten unterstützen, die Lücken in Deiner IT-Landschaft zu finden und übernehmen dabei auch die Kommunikation mit Deinen IT-Dienstleistern.

Melde Dich umgehend, wir können Dir eine Paketlösung anbieten, in welcher wir Dir umfassend zur Seite stehen können. Das Ergebnis und die notwendigen Schritte bereiten wir für die Verantwortlichen (z.B. Geschäftsleitung, Verwaltungsrat, Aktionäre, Inhaber) auf.

Titelbild: Adi Goldstein auf Unsplash

Acki-1024

Artikel von

Christoph Ackermann

Vom Sa­ni­tärin­stal­la­teur zum Un­ter­neh­mer – das ist mein Wer­de­gang in einem Satz. Täg­lich be­strebt, Kun­den glü­ck­lich zu ma­chen und das In­ter­net auf den Kopf zu stel­len. Co­de­schnip­sel zum Früh­stück, be­rei­chern­de Mee­tings zur Mit­tags­pau­se und eine Bash zum Ein­schla­fen. Wenn mal nicht im Büro, dann ent­we­der im Se­gel­flug­zeug, in der Werk­statt unter einem Young­ti­mer oder mit Freun­den in der Stadt Bern an­zu­tref­fen.

Abonniere 
unseren Newsletter

Nur wertvolle Infos – kein Spam. Mit der Ameldung bestätigst Du, dass wir Dir einmal im Monat eine Zusammenfassung der neuesten Themen im Web-Bereich als E-Mail zusenden dürfen.

Mehr Artikel wie dieser

Die Vorteile von ISO 27001 – Und warum wir für unsere Server darauf setzen

Weisst Du, wie viel Aufwand Unternehmen eigentlich betreiben, um ihre Daten und die ihrer Kundschaft zu schützen?Stellt sich heraus: Enorm viel. Und dafür gibt es…
Weiterlesen

Datenschutz, Tracking, ITP, Cookiebanner – wo geht es hin?

Nicht nur durch immer wieder auftretende Datenlecks ist das Thema in aller Munde. Grundsätzlich steigt das Interesse an Datenschutz, was auch völlig richtig ist. Vielen…
Christoph Ackermann
Weiterlesen

Swiss Hosting – Das Gütesiegel für Schweizer Qualität in der Schweizer Softwarebranche

Hosting ist das Fundament für Weblösungen jeder Art. Denn ohne Hosting, geht im Grunde genommen gar nichts. Es ist daher sehr wichtig, sich stetig höchsten…
Christoph Ackermann
Weiterlesen

Was ist ein CDN (Content Delivery Network)?

Good news: Das Surfen im Internet wird immer schneller. Dies ist unter anderem besseren Datenleitungen wie auch der stetigen Optimierung von Content zu verdanken. Und…
Weiterlesen

Panik vor der Datenschutz-Grundverordnung 2018 (DSGVO)?

Am 25. Mai 2018 tritt in der EU die Datenschutz-Grundverordnung (DSGVO) ein. Ziel ist es, mehr Kontrolle über die Personendaten zu erhalten. Erreicht wird dies…
Weiterlesen

Alltagshelfer: SSL Zertifikate decodieren und überprüfen

Immer mal wieder kommt es vor, dass ein SSL Zertifikat rumzickt oder unerwünschte Ergebnisse produziert. Da ist es oft hilfreich, den Inhalt des Zertifikats (normalerweise zertifikatname.crt) lesbar zu machen und zu überprüfen oder das Keyfile (normalerweise zertifikatname.key) mit dem Zertifikatsfile abzugleichen.
Christoph Ackermann
Weiterlesen