Das BSI setzt Sicherheitswarnstufe für Java-Schwachstelle log4j auf rot

Das Bundesamt für Sicherheit und Informationstechnik hat seine Warnstufe für die Log4j-Schwachstelle auf Rot gesetzt. Damit ist die höchste Warnstufe erreicht. „Das Ausmaß der Bedrohungslage ist aktuell nicht abschließend feststellbar.“

Hier werben? Hier klicken!

Log4j ist ein Framework zum Loggen von Anwendungsmeldungen in Java. Innerhalb vieler Open-Source- und kommerzieller Softwareprodukte hat es sich über die Jahre zu einem De-facto-Standard entwickelt. Log4j gilt als Vorreiter für andere Logging-Frameworks, auch in anderen Programmiersprachen.

Sicherheitslücke wird bereits ausgenutzt

Das BSI warnt eindrücklich davor, dass die Lücke bereits aktiv ausgenutzt werde, etwa für Kryptominer oder andere Schadsoftware. „Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von Log4j Teile der Nutzeranfragen protokollieren.“, informiert das BSI.

Auch das besondere Anwaltspostfach beA betroffen

Von der Sicherheitslücke war auch das Anwaltspostfach beA betroffen, das zur sicheren Kommunikation zwischen Anwälten und beispielsweise Gerichten in Kürze zum Standard gemacht wird. Die Betreiber haben die Sicherheitslücke nach eigenen Angaben allerdings zwischenzeitlich geschlossen.

Log4J Maßnahmen

Es macht sich ein wenig Ratlosigkeit breit. Als akute Maßnahmen empfiehlt das BSI, nicht zwingend benötigte Systeme abzuschalten und verwundbare Systeme zu isolieren. Bei Systemen, die zwingend für den Geschäftsbetrieb benötigt werden, wird empfohlen, die Zugriffe umfangreich aufzuzeichnen, um später prüfen zu können, ob ein System kompromittiert wurde.

Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software-Produkten verankert. Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. Es ist zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden.

BSI Pressemitteilung

Da Log4j in unendlich vielen Systemen und Anwendungen eingesetzt wird sind nicht nur große Server-Systeme, sondern auch Privatanwender und kleinere Unternehmen von der Schwachstelle betroffen.

Bitte klick‘ hier und unterstütze unsere Arbeit mit einer Kaffeespende. Vielen Dank.