14 12 2021

Log4j – die potentielle Pandemie des Internets

Tobias Reicheldt Politik & Gesellschaft, Technologie

Eine am Donnerstag bekannt gewordene Sicherheitslücke rüttelt an den Grundfesten des World Wide Web. Die weltweit vielfach genutzte Laufzeitbibliothek Log4j der Programmiersprache Java lässt sich als Einfallstor in Hunderttausende von Anwendungen unterschiedlichster Art nutzen. Die Übernahme ganzer Computernetzwerke durch Kriminelle oder feindliche Staaten könnte die Folge sein.

Massive Auswirkungen nicht nur auf wichtige Behörden, sondern auch auf die Wirtschaft sind zu befürchten, wenn kriminelle Kräfte sich die Möglichkeiten zunutze machen, die sich aus der Sicherheitslücke in Log4j eröffnen. Nicht zuletzt deshalb setzte das Bundesamt für Sicherheit in der Informationstechnik BSI die betreffende Warnstufe auf rot.

Hackerangriffe haben bereits begonnen

„Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar“, heißt es von der Bundesbehörde. Bereits jetzt seien eine Reihe von Angriffen zu beobachten, einige davon erfolgreich. Es steht zu befürchten, dass die Intensität der Attacken in naher Zukunft massiv ansteigen wird.

Das Fatale an der Sicherheitslücke in Log4j ist die Möglichkeit von Angreifern, eigenen Code auf fremden Computern auszuführen. Das macht eine Reihe von Übergriffen möglich.

Die harmloseste scheint dabei die Kaperung von Rechnern zum Schürfen von Kryptowährung zu sein. Erheblich drastischer sind Szenarios, in denen über das jüngst entdeckte Einfallstor Bankdaten und ähnlich sensible Informationen für Hacker verfügbar werden.

Nur einige Versionen betroffen

Nach bisherigem Sachstand scheinen nur einige Versionen von Log4j von der Sicherheitslücke betroffen zu sein. Doch bereits sie können Auswirkungen auf Hunderte Millionen Computer haben. Noch fehlt der Überblick, welche Unternehmen und Behörden davon betroffen sein könnten. Unbestätigten Informationen zufolge soll selbst das FBI auf der Liste der konkret gefährdeten Einrichtungen stehen.

Dennoch stehen Anwender und Einrichtungen der Gefahr durch die Datenlücke nicht wehrlos gegenüber. „Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden“, empfiehlt dazu das BSI. Derzeit arbeiten bereits Tausende von Entwicklerfirmen weltweit an neuen Versionen ihrer Anwendungen, sofern sie mit der gefährdeten Laufzeitbibliothek arbeiten.

Log4j-Lücke gehört zu den gefährlichsten Hacker-Zielen überhaupt

Log4j erfüllt die Aufgabe einer Log-Bibliothek. Sie soll vorher definierte Ereignisse, die beim Betrieb von Servern eintreten, in einem digitalen Logbuch dokumentieren. Diese Routine dient der nachträglichen Fehlersuche und der Entwicklung von Updates der Anwendungen.

Die Rolle von Log4j als Einfallstor in fremde Rechner lässt sich sogar ohne konkrete Absicht aktivieren. Taucht eine bestimmte Zeichenfolge in einem der Einträge in das digitale Logbuch auf, löst das bereits die Öffnung der Systeme aus.

Erstmals entdeckt wurde das Sicherheitsproblem am Donnerstag auf den Servern für das Onlinespiel Minecraft. Seither breitet sich die Gefahrenlage rasend schnell aus. Nachdem bekannt wurde, dass Log4j für das Problem verantwortlich ist, erkennen Zehntausende von Entwicklern, dass auch ihre Anwendungen Gefährdungspotential aufweisen.

Erste Updates bereits verfügbar

Über das Wochenende hinweg haben zahlreiche Entwicklerfirmen an Updates für ihre gefährdeten Anwendungen gearbeitet, sodass sich bereits jetzt erste Sicherheitslücken schließen lassen. Voraussetzung für die Beendigung der Gefahrensituation ist allerdings, dass die Anwender die angebotenen Updates auch installieren – als Impfung ihrer Systeme sozusagen.

Das gilt nicht nur für die Nutzer von Computern und Computernetzwerken. Auch Systeme, die auf den ersten Blick nicht mit dem erkannten Problem in Verbindung stehen, können davon betroffen sein. So könnten beispielsweise auch kontaktlose Türöffnungssysteme oder QR-Scanner gefährdet sein, da ihre Betriebssoftware vielfach in Java programmiert ist und Log4j einbindet.

Noch ist das Rennen zwischen Kriminellen und Softwareentwicklern nicht entschieden. Ob sich die Gefahrenlage zu einer Datenkatastrophe auswächst, wird davon abhängen, wie schnell die Updates für die gefährdeten Anwendungen verfügbar sind und installiert werden.

Der Erfolg wirksamer Abwehrstrategien wird sich erst nach einiger Zeit erweisen. Nicht selten macht sich Schadsoftware erst Wochen oder Monate nach ihrer Implantierung bemerkbar.