Skip to main content

14.02.2022 | Verwaltungsmanagement | Gastbeitrag | Online-Artikel

Log4Shell bedroht die öffentliche Verwaltung

verfasst von: Sebastian Brabetz

3 Min. Lesedauer

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config
print
DRUCKEN
insite
SUCHEN
loading …

IT-Sicherheitslücken können große Schäden verursachen. Was sich hinter der Sicherheitslücke Log4Shell verbirgt und wie sich Einrichtungen der öffentlichen Verwaltung vor der Sicherheitslücke schützen können. 

Die Sicherheitslücke, die die IT-Welt momentan in Atem hält, ist unter der in Fachkreisen gängigen Bezeichnung „Log4Shell“ bekannt. Viele betroffene Unternehmen und Organisationen versetzte sie seit Bekanntwerden Ende des Jahres 2021 in helle Aufregung. Sie wird als eine der schwerwiegendsten Sicherheitslücken der vergangenen Jahre eingestuft. 

Der Fehler befindet sich in der viel genutzten Open-Source Java-Codebibliothek namens Log4j (Logging for Java). Dabei ist Log4j prinzipiell ein praktischer Baustein, der die standardisiert hochwertige Protokollierung von Softwareprozessen ermöglicht. Sämtliche Ereignisse im Server- und Anwendungsbetrieb können auf diese Weise zum einen festgehalten und anschließend mögliche Fehler ausgewertet werden.

Im Laufe der Zeit wurde jedoch eine unsichere Funktion hinzugefügt, die jahrelang unbemerkt im Quellcode schlummerte. Somit erhielten Cyberkriminelle die Möglichkeit, auf Server und Betriebssysteme zuzugreifen, in denen Log4j vorhanden war. Nach den ersten Cyberangriffen auf Unternehmensnetzwerke reagierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) dementsprechend mit der Alarmstufe "Rot".

Eine gefährliche Schwachstelle

Tatsächlich ist die Lücke einfach auszunutzen. Besonders gefährlich wird sie, wenn sich Administratoren nicht bewusst sind, dass sie Log4j installiert haben. Die Bibliothek ist nämlich in vielen Softwareprogrammen enthalten, ohne dass darauf hingewiesen wird. Deshalb kann dieses Szenario häufig der Fall sein. 

In wie vielen Programmen die Schwachstelle verborgen ist, wird nach wie vor ermittelt. Darüber hinaus handelt es sich hierbei um eine "Second-Order-Attack". Demnach können nicht nur am Internet verbundene, sondern ebenfalls nachgelagerte Systeme erreicht und gegebenenfalls komplett übernommen werden. Deshalb ermöglicht die Schwachstelle das Abgreifen, Löschen sowie die Veränderung sensibler Daten von Unternehmen und öffentlicher Einrichtungen gleichermaßen. 

Sicherheitsmaßnahmen schnell implementieren

Um zu verhindern, dass Cyberkriminelle Zugriff auf Server oder Daten von Unternehmen und Behörden erhalten, muss die Implementierung von Sicherheitsmaßnahmen stark vorangetrieben werden. Zuerst gilt es, mithilfe des Schwachstellenmanagements festzustellen, an welchen Stellen Log4j im Netzwerk vorhanden ist. 

Die gesamte betroffene Firm- oder Software muss in den sicherheitsrelevanten Updates integriert werden. Anschließend können die Schwachstellen durch Sicherheitspatches oder Workarounds geschlossen werden. Durch den Patch wird der Fehler behoben, ohne das gesamte Programm neu aufsetzen zu müssen.

Ein Patch für die Sicherheitslücke ist das Update mit der aktuellen Log4j-Version 2.17.1 der Apache Software Foundation. Somit steht der Patch zwar bereit, aber es kann Wochen bis Monate dauern, bis die betroffenen Programme identifiziert und anschließend die Sicherheitslücke neutralisiert ist. Zeit ist somit ein wichtiger Faktor. Besonders im Hinblick auf die enorm hohe Anzahl von Angriffen, die täglich erfasst werden. 

Unternehmen und Behörden sollten sich bei den Herstellern der von ihnen genutzten Programme informieren, ob diese betroffen sind. Falls das der Fall ist gilt es, stets die eigens hierfür bereitgestellten Updates zu installieren. In den kommenden Monaten wird sich zeigen, wie gefährlich die Lücke wirklich ist und welchen Schaden sie angerichtet haben wird.

Abschließend bleibt zu erwähnen, dass im Dezember gerade die IT-Abteilungen handeln konnten, die bereits ein Schwachstellenmanagement etabliert hatten und sich schnell einen Überblick verschaffen konnten. Wer im Dezember erst angefangen hat Schwachstellen-Scanning zu etablieren, findet teilweise im Januar noch neue Log4j Installationen.

Der Autor Sebastian Brabetz ist in der Geschäftsleitung bei der Mod IT GmbH für die Professional Security Services verantwortlich.

print
DRUCKEN

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

01.02.2022 | DuD Report

Report

2020 | OriginalPaper | Buchkapitel

Cyber Crisis Prevention

Quelle:
Cyber Crisis Management

01.09.2021 | Strategie

IT-Infrastruktur modernisieren

Das könnte Sie auch interessieren

09.03.2020 | Risikomanagement | Schwerpunkt | Online-Artikel

Mobiles Arbeiten gefährdet die IT-Sicherheit

06.01.2020 | Cyber-Sicherheit | Schwerpunkt | Online-Artikel

Cybercrime legt an Dynamik zu

01.04.2021 | Risikomanagement | Gastbeitrag | Online-Artikel

Ransomware erfolgreich abwehren

Premium Partner