Die kürzlich entdeckte Schwachstelle in einer Java-Logging-Bibliothek (Log4j) birgt erhebliche Risiken für sehr viele IT-Systeme. Das Bundesamt für Sicherheit in der Informationstechnik hat die Alarmstufe erhöht und spricht von einer extrem kritischen Sicherheitslage.
Vor wenigen Tagen wurde die Sicherheitslücke mit der Bezeichnung Log4Shell in der sehr weit verbreiteten Java-Komponente Log4j entdeckt, für die das BSI mittlerweile die höchste Bedrohungsstufe Rot (extrem kritisch) ausgerufen hat. Besonders problematisch ist diese Lücke aus mehreren Gründen.
Software-Module sind weit verbreitet und einfach auszunutzen
Zum einen ist diese Java-Bibliothek in sehr vielen Produkten zu finden, was wiederum Auswirkungen auf zahllose weitere Anwendungen und Dienste hat. Solche Java-Bibliotheken sind Software-Module, mit denen sich bestimmte Funktionen in anderen Diensten einbauen lassen. Selbst eine ungefähre Zahl von Diensten, die diese Komponente nutzen oder die indirekt betroffen sind, lässt sich daher derzeit noch nicht seriös angeben, doch schon jetzt geht man davon aus, dass diese Sicherheitslücke eine der gravierendsten in den vergangenen Jahren ist.
Betroffen sind
- neben den ganz großen Dienstanbietern wie Apple, Amazon, Twitter
- auch sehr viele kleine Unternehmen
- und selbst Heimanwender können sich nicht auf der sicheren Seite wähnen.
So ist beispielsweise schon bekannt, dass einige WLAN-Router und Access Points über die Konfigurationsprogramme angreifbar sind. Denkbar sind auch Angriffe auf Smart-Home-Lösungen oder auf zahlreiche weitere Netzwerkkomponenten und Server. Bekannt wurden mittlerweile auch Angriffe auf Bundesbehörden, die mit solchen vulnerablen Systemen arbeiten.
Sicherheitslücke ist einfach auszunutzen und kann erhebliche Schäden verursachen
Das Risiko ist deshalb so enorm hoch, weil sich die Sicherheitslücke einerseits sehr einfach ausnutzen lässt und andererseits damit erhebliche Schäden angerichtet werden können. So muss für einen erfolgreichen Angriff lediglich eine manipulierte Anfrage an einen anfälligen Server oder eine verletzbare Anwendung geschickt werden, entsprechende Anleitungen hierzu finden sich bereits an zahlreichen Stellen im Internet. Die Angreifer können zudem direkt aktiv werden, indem sie schädlichen Programmcode direkt in ihre Abfragen einbauen. Es muss also nicht erst eine Software zum Nachladen des eigentlichen Schadcodes eingeschleust werden. Hierüber kann das angegriffene System etwa aufgefordert werden, Kontakt zu einem Server aufzubauen, um von dort eine weitere Schadsoftware, wie etwa eine Backdoor oder eine Krypto-Mining-Software, auszuführen. Bekannt wurden bereits auch deinige Angriffe, bei denen sogenannte Cobal Strike-Beacons auf die Systeme übertragen wurde, über die weitere Angriffe zu einem späteren Zeitpunkt ausgeführt werden können.
Erste Log4j-Angriffswellen bereits im Rollen
Schon kurz nach Bekanntwerden der Schwachstelle mussten Sicherheitsforscher eine stark wachsende Zahl von Scans feststellen, über die nach verwundbaren Systemen gesucht wurde. Selbst wenn nicht alle diese Scans von Hackern mit bösen Absichten durchgeführt wurden, dürften solche Systeme potentiellen Angreifern nicht mehr lange verborgen bleiben.
Derzeit läuft daher ein Wettrennen zwischen IT-Sicherheitsabteilungen und Administratoren in Firmen und anderen Organisationen auf der einen, und zwischen böswilligen Hackern auf der anderen Seite. Schnelligkeit spielt daher eine entscheidende Rolle, denn wenn ein System mit Schwachstelle erst einmal entdeckt wurde, können die Angreifer sehr schnell aktiv werden.
Populäre Abwehrmaßnahmenhefen nicht wirklich hilfreich
Teilweise wird versucht, durch Ausfiltern verdächtiger Zeichenketten durch Verwendung einer Firewall einen Angriff zu verhindern, doch mittlerweile zeigt sich, dass sich diese Filter durch Verschleierungsmaßnahmen ebenfalls recht einfach aushebeln lassen.
Auch das Aussperren von Verbindungen, die von verdächtigen IP-Adressen stammen, bietet keinen wirklich effektiven Schutz, denn auch hierüber lassen sich meist nur Attacken abwehren, die von Amateuren ausgehen oder bei denen es sich um harmlose Kontaktversuche von IT-Sicherheitsforschern handelt, nicht aber halbwegs professionelle Angreife. Denn die Profis nutzen für ihre Angriffe keine von vornherein verdächtigen Systeme, wie etwa über das Tor-Netzwerk, sondern verwenden scheinbar harmlose Server.
BSI liefert laufend aktualisierte Sicherheitshinweise und Gegenmaßnahmen
Das BSI stellt auf seine Website laufend aktualisierte Informationen zur kritischen Sicherheitslücke Log4j bereit und gibt dabei auch einen Überblick über mögliche Gegenmaßnahmen. Da sich derzeit die Informationslage rasch ändert, werden auch diese Ausführungen in kurzen Abständen aktualisiert. Generell empfiehlt das BSI, sich auch bei dieser Bedrohung an bestimmte Grundregeln zu halten. So sollten angebotene Sicherheitsupdates unverzüglich aufgespielt werden und die gefährdeten Systeme sollten durch geschultes Personal sorgfältig überwacht werden.
Sicherheitshinweise des BSI zu Log4j
Weitere Beiträge zum Thema
REvil-Hacker-Angriff über IT-Dienstleister hat weltweite Folgen
Cyberangriffe, IT-Sicherheit und die Verantwortung für lückenlosen Schutz
Hintergrund: IT-Sicherheit rechtskonform organisieren
Um die IT-rechtskonform zu organisieren, sollte man sich an anerkannten Standards und den BSI-Grundschutzkatalogen orientieren. Die technischen Standards zur Einführung eines Informationssicherheitsmanagementsystems geben die Leitlinien vor, die den Umgang mit der betrieblichen IT regeln. Dazu zählen z. B. Themen wie
- ein internes Kontrollsystem (IKS),
- ein Risiko-Management-Systeme (RMS),
- ein Frühwarnsystem,
- spezielle Verwaltungs- und Analysesysteme,
- revisionssichere Dokumenten-Management-Systeme (DMS) oder Archivsysteme,
- Workflow-Systeme bei Compliance-gerechten Freigabe- und Genehmigungsprozessen,
- Freigabe von Gastzugängen,
- Ausgestaltung der Firewall oder entsprechender Content-Filter,
- Benutzerrichtlinien,
- Verpflichtungserklärungen zum Datenschutz
- und Vorgaben zur Dokumentation.