• News

Warnstufe Rot: Log4Shell gilt als größte Sicherheitslücke in der Geschichte des Internets

IT-Security-Spezialisten, Softwarefirmen, Konzerne, ganze Staaten sind seit dem Wochenende alarmiert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sogar die Warnstufe Rot ausgegeben. Endverbraucher seien eher nicht betroffen und müssten sich wenig Sorgen machen, heißt es.

Wer ist von der Sicherheitslücke in Log4J betroffen?

Zahlreiche Softwareentwickler, Dienstanbieter, Unternehmen, Behörden – sie alle sind direkt oder indirekt von Log4Shell betroffen, wenn sie mit Programmen zu tun haben, in denen Log4J eine Rolle spielt. Leider ist nicht leicht nachzuvollziehen, ob Log4J in einem Dienst enthalten ist. “Das kann man nicht von außen auf Anhieb sehen, weil es sich um eine Bibliothek handelt, die schlicht in Programme integriert wird, häufig ohne dieses nach außen ordentlich zu dokumentieren. Es gibt allerdings inzwischen Werkzeuge um vorliegende Software daraufhin zu untersuchen”, sagt Experte Thorsten Strufe vom Karlsruher Institut für Technologie (KIT). Auch ist schwer zu entdecken, ob ein System bereits korrumpiert wurde. “Wenn eine Protokollierung der Zugriffe eingeschaltet ist, kann man hier Glück haben. Im Allgemeinen gilt allerdings: Nicht in jedem Fall und nicht durch Laien”, so Strufe. “Forensiker können hier helfen und nach Spuren schauen. Sollten Aufrufprotokolle vorliegen, können diese nützliche Hinweise enthalten, aber eine Abwesenheit gefundener Indizien sollte nicht als Nachweis verstanden werden, dass es keine Zugriffe gegeben hat.”

 

Laut dem BSI sind Privatanwenderinnen und Privatanwender weniger stark gefährdet als Unternehmen und Organisationen. Das sagt auch IT-Sicherheitsexperte Christoph Skornia: „Viele Endbenutzer sind zwar indirekt, aber nicht unmittelbar gefährdet. Zumindest sind aktuell keine Angriffe bekannt, die darauf abzielen, den Nutzer eines Dienstes direkt zu attackieren.“ Sprich: Betroffene Unternehmen wie zum Beispiel Amazon oder Cisco haben selbst zwar ein großes Problem – “aber wenn diese Dienste in ihren Systemen nicht massive Fehler gemacht haben, dann haben Nutzer erst einmal kein großes Problem.“

Was muss man jetzt unternehmen?

Das JNDI-Lookup im neuesten Update zu Log4j wurde deaktiviert. Die Entwickler von log4j haben diese JNDI-Funktion nun standardmäßig deaktiviert. Log4j funktioniert weiter – nur wer dieses JNDI-Feature nutzen will, muss es nun explizit aktivieren. Damit ist die kritische Funktion innerhalb von log4j weg, ohne dass es groß jemand vermissen würde”, so Steven Arzt vom Fraunhofer Institut.

Schnelligkeit sei jetzt wichtig, sagt Christoph Skornia: „Jedes Softwareunternehmen muss jetzt unbedingt prüfen: Setze ich diese Bibliothek ein und wenn ja, mit welcher Version und Konfiguration?” Auf die Frage, ob es ein gewisses Zeitfenster für ITler gibt, in dem sie agieren sollten, sagt der Experte: „Wichtig ist eine schnelle Reaktion. Dabei darf man nicht in sich schließenden Fenstern denken, sondern muss großen Risiken so schnell wie möglich beseitigen und dabei gegebenenfalls kleine Risiken in Kauf nehmen.“ Da sich Programmierfehler nie ausschließen lassen, empfiehlt er “eine professionelle Qualitätssicherung und klare Standards für den Fall, dass etwas schief geht.“ Das A und O ist laut Skornia ein funktionierendes Incident Management. “Das muss auch bei der kleinsten Firma sitzen.”

Thorsten Strufe vom KIT ergänzt diese Empfehlung: “Unternehmen sollten alle Dienste, von denen sie nicht sicher wissen, ob sie Log4J enthalten, vom Netz nehmen und auf Patches von den Herstellern und Entwicklern warten.” Bei Diensten, die sich partout nicht vom Netz trennen ließen, bis sie gepatcht sind, bestehe grundsätzlich die Möglichkeit, sie durch eine vorgeschaltete Firewall zu schützen. “Dieser Schutz ist allerdings nicht zwangsläufig effektiv und darauf sollte sich nur verlassen, für den selbst ein kurzfristiges Abschalten zum Patchen fatale Folgen hätte. Denn es muss davon ausgegangen werden, dass die Systeme weiterhin unsicher sind”, so Strufe.

Als Nutzer könne man im Prinzip nicht viel tun, als selbst Updates einzuspielen, sobald sie vorliegen. “Mit der Bewegung vieler Anwendungen in die Cloud und dem Abonnement-Modell, bei dem Programme nicht mehr lokal installiert und ausgeführt werden, ist man letztlich immer darauf angewiesen, dass die unzähligen Dienstanbieter, deren Dienste man nutzt, alle verantwortungsvoll handeln”, sagt der Experte. “Geräte zu Hause, die auch über das Internet erreichbar sind, sollte man vom Netz trennen und auf Patches bzw. Entwarnungen von den Herstellern warten, bevor man sie wieder erreichbar macht.”

Sind Sie unsicher?

Bei Zweifeln ob auch Ihre Systeme betroffen sind, unterstützen wir Sie gern und decken Ihre Schwachstellen auf, sei es in der Rolle als externer Angreifers oder mit einem IT Infrastrukturcheck.  Mit einer Reihe von Tests unterziehen wir Ihre IT-Infrastruktur, Web-Portalen, Datenbanken samt Schnittstellen und Mobile Apps eine tiefergehende Sicherheitsprüfung. Dabei werden nicht nur Ihre Systeme aus der Sicht eines Angreifers untersucht, sondern auch Ihre Infrastruktur, um mögliche Gefahren aufzudecken.

Zur kostenlosen Beratung:

info@cyber24security.de

 

 

Quelle: ingenieur.de, bsi.bund.de

Zurück