IT-Sicherheit
13. Dezember 2021 16:45  Uhr

Sicherheitslücke führt zu IT-Alarmstufe Rot

Henrik Knoblauch, IT-Security-Experte vom IT-Systemhaus Bechtle in Regensburg, erklärt im Interview, wie groß die Bedrohung durch die neu entdeckte Log4j-Sicherheitslücke ist und was Unternehmen zu ihrer Absicherung jetzt tun müssen.

Cybersicherheit ist längst systemrelevant: Aufgrund einer neu entdeckten Sicherheitslücke wurde nun vom BSI die IT-Alarmstufe rot ausgerufen. Unternehmen sollten die Bedrohung ernst nehmen. Foto: WhataWin – stock.adobe.com

Von Mechtild Nitzsche

Herr Knoblauch, am vergangenen Donnerstag, 9. Dezember wurde eine kritische Sicherheitslücke in Log4j bekanntgegeben, die als CVE-2021-44228 mit dem höchsten Schweregrad 10 eingestuft wurde. Das Bundesamt für Sicherheit in der Informationstechnik BSI hat daraufhin die IT-Bedrohungslage Rot ausgerufen. Was heißt das konkret?

Henrik Knoblauch: Um ein einheitliches Verständnis zu der Schwere einer Sicherheitsbedrohung zu erlangen, hat man sich auf die Farben grau, gelb, orange und rot geeinigt. Orange stellt eine geschäftskritische Bedrohung dar. Die rote Einstufung geht noch einen Schritt weiter und geht von einer nicht mehr abzuwendenden Unterbrechung des IT-Regelbetriebs aus.

Welche Gefahren drohen konkret – Datenverlust, Lahmlegen des ganzen Systems, Kapern des Systems für illegale Zwecke?

Die meisten haben Angst vor einem Ransomware-Angriff und den dazugehörigen Folgen. Die weitaus größere Gefahr ist jedoch die Unsicherheit. Hat jemand Zugriff auf sensible Daten erhalten? Wurde ich exfiltriert? Wurden Daten gar manipuliert? Muss ich den Vorfall der Datenschutzbehörde melden?

Wer genau ist in Gefahr – Unternehmen, private Nutzer oder beide? Und wie groß ist das Ausmaß der Bedrohung?

Log4j 2 ist eine Open-Source-Java-Protokollierungsbibliothek, die in einer Reihe von Softwareanwendungen und -diensten auf der ganzen Welt weit verbreitet ist. Als Bestandteil einer Open-Source-Software, die kostenfrei von jedem Hersteller genutzt werden darf, ist die betroffene Schwachstelle damit eine Bedrohung für jedermann – auch für Linux-Server. Im Prinzip kann jeder betroffen sein, vom Datacenter bis zur Fritzbox. Gerade das macht es im Moment so schwierig, das Ausmaß zu beziffern.

Im Prinzip kann jeder betroffen sein, vom Datacenter bis zur  Fritzbox

Wie gemeldet wird, geht es um die Log4j 2 Versionen 2.0 bis 2.14.1. Lässt sich das Bedrohungszeitfenster damit vielleicht etwas eingrenzen?

Nicht wirklich: Die Version 2.0 wurde bereits 2014 veröffentlicht, die Schwachstelle besteht also schon seit sieben Jahren.

Gibt es für Firmen so etwas wie einen Schnelltest, um festzustellen, ob man betroffen ist?

Ja, die gibt es: Eine Möglichkeit sind kommerzielle externe Scanner, zum Beispiel Nessus, mit deren Hilfe die Verwundbarkeit recht schnell ermittelt werden kann. Wer sich auf der Kommandozeile zu Hause fühlt, kann mit kostenfreien Tools das gleiche Ziel erreichen: GitHub – fullhunt/log4j-scan: A fully automated, accurate, and extensive scanner for finding log4j RCE CVE-2021-44228

Welche Tipps zu einem schnellen Handeln würden Sie jetzt Firmen geben?

Erstens sollte man zeitnah die Patches zum Schließen der Sicherheitslücke einspielen, sobald diese verfügbar sind. Zweitens gilt es jetzt, die interne Überwachung zu verstärken und auf Anomalien zu achten, insbesondere bei administrativen Konten. Und drittens rate ich, jedes System mit den veröffentlichten Tools einzeln daraufhin zu überprüfen, ob eine Kompromittierung nicht bereits doch schon stattgefunden hat. Außerdem möchte ich auf unsere Website verweisen, auf der sich noch eine Reihe weiterer Empfehlungen finden.

Hintergrund
  • Am 9. Dezember wurde die Sicherheitslücke, die die Apache Log4j 2 Versionen 2.0 bis 2.14.1 betrifft, auf GitHub bekannt gegeben und als CVE-2021-44228 mit dem höchsten Schweregrad von 10 eingestuft.
  • Log4j 2 ist eine Open-Source-Java-Protokollierungsbibliothek, die in einer Reihe von Softwareanwendungen und -diensten auf der ganzen Welt weit verbreitet ist.
  • Die Schwachstelle kann Hackern die Möglichkeit geben, die Kontrolle über jeden Java-basierten, internetfähigen Server zu übernehmen und RCE-Angriffe (Remote Code Execution) durchzuführen. Darüber hinaus können auch interne Server betroffen sein.
  • Es gibt Berichte, dass das Internet von Hackern bereits aktiv nach betroffenen Servern durchsucht wird.
  • Das IT-Systemhaus Bechtle ist mit 80 Systemhäusern in der DACH-Region und auch mit einer Niederlassung in Regensburg vertreten. Das Unternehmen bietet auf seiner Website weitere Informationen zu der Sicherheitslücke an, darunter Handlungsempfehlungen für Firmen sowie eine Liste der betroffenen Hersteller-Produkte, die ständig aktualisiert wird.