funkschau Kommentar
Bei Rot über die Ampel
Obwohl die Log4j-Schwachstelle in der Java-Bibliothek schon Ende Dezember entdeckt worden ist, hat fast jedes zweite Unternehmen dahingehend noch nichts unternommen. Zeit zu handeln.
Knapp neun Monate ist es her, dass die gefährliche Schwachstelle „Log4Shell“ in der weit verbreiteten Java-Bibliothek Log4j für Aufruhr sorgte. Am 11. Dezember 2021 hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine extrem kritische Bedrohungslage konstatiert und seine bestehende Cybersicherheitswarnung von Warnstufe Orange auf Rot hochgestuft.
| Log4j ist eine sogenannte Logging-Bibliothek. Die vielbenutzte Software ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten – zum Beispiel für eine spätere Auswertung von Fehlern. |
|---|
Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge auftaucht, etwa durch eine Nachricht. Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Schlussendlich kann die Sicherheitslücke dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen können. Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen.
Die gute Nachricht: Die Schwachstelle ist auf einige ältere Versionen der Bibliothek mit dem Namen Log4j beschränkt. Die schlechte: Zunächst hatte niemand einen vollen Überblick darüber, wo die gefährdeten Versionen von Log4j überall genutzt werden. Und auch knapp ein halbes Jahr später hat jedes zweite Unternehmen trotz aller Warnungen die Sicherheit seiner IT-Systeme dahingehend noch immer nicht geprüft. Darauf deuten Ergebnisse einer Umfrage im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) zwischen März und April 2022 hin1. Warum nur dieses grob fahrlässige Verhalten?
Zu sorglos oder unwissend?
„Nur 40 Prozent der mittelständischen Unternehmen haben nach dem Bekanntwerden der Sicherheitslücke ihre Software überprüft“, sagt GDV-Hauptgeschäftsführer Jörg Asmussen. Nur 28 Prozent der repräsentativ von Forsa befragten mittelständischen Unternehmen gaben an, zusätzlich die eigenen Systeme auf bereits eingedrungene Schadsoftware untersucht zu haben. „Die Unternehmen dürfen eine solche Schwachstelle und die lauten und klaren Warnungen davor nicht einfach ignorieren“, sagt er. Wer darauf nicht reagiere, sei beim Thema IT-Sicherheit zu sorglos – oder habe zu wenig Know-how. Im Zweifel könnten Unternehmen auch ihren Cyberversicherungsschutz verlieren, wenn Hacker über eine lange bekannte, aber dennoch nicht geschlossene IT-Sicherheitslücke angreifen. Und dass die Gefahr nicht zurückgegangen ist, zeigen Aktivitäten der letzten Zeit: Cyberkriminelle haben die Log4J-Schwachstelle bereits für unterschiedliche Angriffsformen ausgenutzt. Teilweise missbrauchten sie die Rechenleistung betroffener Systeme zur Errechnung von Krypto-Währungen wie Bitcoin, integrierten die Rechner in Bot-Netze für DDoS-Angriffe oder verschlüsselten Daten, um Lösegeld zu erpressen.
Für Juni 2022 stellte Sicherheitsanbieter Check Point in seinem Global Threat Index eine nach wie vor starke Ausnutzung fest2. „Apache Log4j Remote Code Execution (CVE-2021-44228)“ ist mit 43 Prozent weltweit betroffener Unternehmen demnach die am häufigsten ausgenutzte Schwachstelle gewesen. Darüber hinaus besteht die Gefahr, dass sie bereits vor einem Sicherheitsupdate für eine Erstinfektion mit Schadsoftware genutzt wurde. Dann könnten Angreifer die IT-Systeme auch nach dem Schließen der Sicherheitslücke weiter attackieren.
Zeit zu handeln
Ein Grund mehr, die gesicherten IT-Systeme eingehend auf etwaige Schadsoftware zu überprüfen und endlich etwas zu unternehmen. „Das Problem ist, dass, obwohl es wirklich schwierig ist, alle Anwendungen und Dienste zu durchforsten, welche die anfällige Bibliothek nutzen, es für Kriminelle zugleich einfach ist, sie gegebenenfalls auszunutzen“, erläutert Roger Scheer, Regional Vice President für den Bereich Zentraleuropa bei Tenable. Angesichts der einfachen Ausnutzbarkeit und der breiten verfügbaren Angriffsfläche würden Angreifer die Schwachstelle weiterhin nutzen, um Fuß zu fassen, um gezielte Sicherheitsverletzungen auszulösen oder opportunistische Ransomware-Angriffe zu automatisieren – es sei denn, Unternehmen steigen endlich sprichwörtlich auf die Bremse und gehen Log4j proaktiv an.
1 https://www.gdv.de/gdv/medien/medieninformationen/sicherheitsluecke-log4j-koennte-noch-zum-problem-werden--84950
2 https://blog.checkpoint.com/2022/08/10/july-2022s-most-wanted-malware-emotet-takes-summer-vacation-but-definitely-not-out-of-office/
Lesen Sie mehr zum Thema
