Eine frisch entdeckte Java-Sicherheitslücke kann Angreifern einfachen Zugriff auf Server gewähren. Raus kam alles wegen des Spiels „Minecraft“. Doch was bedeutet dieses Log4j-Problem für den IT-Laien?
Droht uns Chaos?IT-Sicherheitslücke aufgeflogen: Gefahr für weite Teile des Internets
Droht jetzt das Chaos am heimischen Computer? IT-Sicherheitsexperten schlagen Alarm wegen einer Schwachstelle, die auf breiter Front Server im Netz bedroht. Also eine Gefahr für weite Teile des Internets...
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte am Samstag, 11. Dezember 221, seine Warnstufe zu der Sicherheitslücke von Orange auf Rot hoch.
Es gebe weltweit Angriffsversuche, die zum Teil erfolgreich gewesen seien, hieß es zur Begründung unter anderem. „Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar.“
Java-Sicherheitslücke: Wie gefährlich ist das? Droht Chaos daheim?
Doch wie gefährlich ist das IT-Problem? Ein Beispiel: Nehmen wir an, in fast jedem Auto gebe es eine Schraube. Von dieser Schaube hinge die Funktionsfähigkeit dieser Autos ab. Plötzlich würde festgestellt, dass diese Schraube in jedem der Autos möglicherweise kaputt gegangen sei, weil die Schraube von Außen manipuliert werden konnte. Also müsste man einen Rückruf starten, um die Schrauben überall tauschen zu lassen...
„Was können User tun, und was müssen sie befürchten? Die allermeisten Endnutzerinnen und -nutzer können nichts tun, Log4j läuft schließlich nicht auf ihren Smartphones und Computern (Ausnahmen sind denkbar bei Menschen, die selbst Server betreiben). Die Arbeit haben vielmehr die IT-Abteilungen in Unternehmen und Behörden“, heißt es im „Spiegel“. Entsprechend droht also nicht den einzelnen Usern, die das Internet aus privaten Gründen nutzen, das große Chaos. Doch ein Problem ist die Sicherheitslücke trotzdem und allemal.
Java-Sicherheitslücke: Schwachstelle in Bibliothek für Java-Software
Die Schwachstelle steckt in einer vielbenutzten Bibliothek für die Java-Software. Die Sicherheitslücke kann dafür sorgen, dass Angreifer unter Umständen ihren Softwarecode auf den Servern ausführen können. Damit könnten sie zum Beispiel ihre Schadprogramme dort laufen lassen.
Die Schwachstelle ist auf einige Versionen der Bibliothek mit dem Namen Log4j beschränkt. Allerdings hat niemand einen vollen Überblick darüber, wo überall die gefährdeten Versionen von Log4j genutzt werden.
„Aktuell ist noch nicht bekannt, in welchen Produkten diese Bibliothek überall eingesetzt wird, was dazu führt, dass zum jetzigen Zeitpunkt noch nicht abgeschätzt werden kann, welche Produkte von der Schwachstelle betroffen sind“, schränkte das BSI ein. „Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden“, empfahl das Amt den Diensteanbietern.
Aber die Ausmaße werden langsam deutlich: „Die Bibliothek kommt in zahllosen Web-Anwendungen zum Einsatz, Schätzungen zufolge wird Log4j in 95 Prozent aller Java-Projekte verwendet“, erklärt das magazin „t3n“ in einem aktuellen Bericht.
Log4j: Java-Sicherheitslücke fiel bei „Minecraft“ auf
Log4j ist eine sogenannte Logging-Bibliothek. Sie ist dafür da, diverse Ereignisse im Server-Betrieb wie in einem Logbuch festzuhalten - zum Beispiel für eine spätere Auswertung von Fehlern. Die Schwachstelle kann schon allein dadurch aktiviert werden, dass in dem Log eine bestimmte Zeichenfolge gespeichert wird.
Damit ist sie eher einfach auszunutzen, was Experten in große Sorge versetzte. Das Problem fiel bereits am Donnerstag, 9. Dezember 2021, auf Servern für das Online-Spiel „Minecraft“ auf. „Am 9. Dezember machten Sicherheitsforscher und verschiedene Websites auf eine Zero-Day-Lücke in der Java-Logging-Bibliothek Log4j aufmerksam“, berichtete beispielsweise das IT-Portal „Inside IT“ aus der Schweiz.
Sicherheitslücke wegen Log4j: Telekom bemerkt Angriffe
Das Portal führt einen Tweet der Deutschen Telekom CERT auf. Darin werde auf erste Angriffe aufmerksam gemacht. Was verbirgt sich hinter dem Unternehmen? „Das Cyber Emergency Response Team (CERT) der Deutschen Telekom verantwortet international das Management von Sicherheitsvorfällen für alle Informations- und Netzwerktechnologien der Deutschen Telekom Group“, heißt es auf der Website des Konzerns.
IT-Sicherheitsfirmen und Java-Spezialisten arbeiteten jetzt daran, die Schwachstelle zu stopfen. Für die betroffenen Versionen der quelloffenen Log4j-Bibliothek gibt es inzwischen ein Update. Allerdings greift sein Schutz erst, wenn Dienstebetreiber es installieren. Deshalb baute der Firewall-Spezialist Cloudflare für seine Kunden einen Mechanismus ein, der Angriffe blockieren soll.
Log4j: Java-Sicherheitslücke kann auch Türen und QR-Scanner treffen
Experten warnten, dass nicht nur Online-Systeme gefährdet seien. Hier ein paar weitere Beispiele:
- Gefahr besteht für Cloud-Dienste wie Steam (dort kann man Online-Spiele kaufen) und Apple iCloud
- auch etwa QR-Code-Scanner
- oder ein kontaktlose Türschlösser könnten angegriffen werden
Die Bedingung für eine Gefahr ist immer: wenn sie Java und die Bibliothek Log4j benutzten, betonte Cloudflare. Das bedeutet, nur die Grundlage der Programmiersprache Java reicht für einen Angriff noch nicht aus. Es muss auch die Bibliothek für die Web-Anwendung genutzt werden.
Die IT-Sicherheitsbranche sah einen Wettlauf mit Online-Kriminellen, die ihrerseits automatisiert nach anfälligen Servern suchen lassen. „Im Moment liegt die Priorität darauf, herauszufinden, wie weit verbreitet das Problem wirklich ist“, sagte Rainer Trost von der IT-Sicherheitsfirma F-Secure.
„Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden.“ Angreifer könnten jetzt mit Hilfe der Lücke auch nur unauffällige Hintertüren für sich einbauen, warnte Trost. „Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später.“ (dok/dpa)