Das Internet, Vernetzung, Sicherheitslücke, Log4Shell
Das Internet, Vernetzung, Sicherheitslücke, Log4Shell
Bildquelle: stori

Log4Shell: Sicherheitslücke erschüttert das Internet

Die Log4Shell Sicherheitslücke ermöglicht die Kontrolle von Millionen an Geräten. Wir haben alle wichtigen Informationen für euch gesammelt.

Bei Log4Shell oder genauer gesagt, log4j, handelt es sich um keine normale Sicherheitslücke. Sicherheitsforscher sprechen nicht ganz ohne Grund von einer tickenden Zeitbombe. Eine Internet-Bombe mit „Fernzünder“, die jederzeit und überall explodieren kann.

Weltweit sind sämtliche Server und Clients, auf denen Java läuft und die mit Hilfe des tief in die jeweiligen Systeme integrierte log4j-Frameworks Protokolle erstellen, betroffen.

Log4Shell: Sicherheitslücke könnte Hackern die Kontrolle über zig Millionen von Geräten geben

Während der BSI-Präsident, Arne Schönbohm, sich darin versucht, die deutsche IT-Landschaft zu beruhigen, sind Sicherheitsforscher auf der ganzen Welt alarmiert.

Handys und iPads sind davon bisher nicht betroffen, das muss man ganz klar sagen

Arne Schönbohm

Allerdings ist das nur ein kleiner Trost. Denn die Java-Bibliothek log4j ist meistens sehr tief in der Architektur von Software-Produkten integriert. Betroffen sind bei weitem nicht nur einzelne Dienste oder Anwendungen. iCloud, Steam, Spotify oder auch Minecraft, sind ganz klar nur die Spitze eines riesigen Eisberges.

Das Schlimme an dieser Softwarelücke ist die Tatsache, dass sich sehr viele Firmen nicht einmal bewusst sind, diese Java-Bibliothek überhaupt zu nutzen.

Wer genau ist davon betroffen? – Auffinden potenziell gefährdeter Software

Wichtig ist jetzt vor allem, herauszufinden, ob man selber von dieser tickenden Zeitbombe betroffen ist. Genauere Informationen bezüglich Log4Shell findet man einerseits beim deutschen BSI. Oder natürlich bei uns auf der Tarnkappe. Denn alles, was bislang an Dokumentation bezüglich log4j im Netz zu finden ist, findet ihr hier in unserer Übersicht.

Sich jetzt zu informieren ist wichtig. Jeder Systemadministrator sollte seine Systeme so schnell wie möglich überprüfen und wenn möglich, sofort (asap) updaten.

Denn eines ist jetzt schon klar. Weltweit suchen bereits Cyberkriminelle und auch Sicherheitsexperten, ganz gezielt nach dieser sehr einfach auszunutzenden Sicherheitslücke. Und ganz weit vorne mit dabei ist Deutschland.

Krypto-Mining mit Hilfe von log4j bei Cyberganoven sehr beliebt

log4j, GreyNoise
log4j – GreyNoise

Weltweit scannen Cyberganoven und auch Sicherheitsexperten derzeit das Internet nach Servern und Systemen, welche von der Log4Shell-Sicherheitslücke betroffen sein könnten. Besonders interessant scheint dabei Deutschland für mögliche Hacker oder auch Sicherheitsforscher zu sein.

CVE-2021-44228 (Log4Shell) wird laut einem Bericht von Bitdefender derzeit hauptsächlich genutzt, um heimlich sogenanntes „Cryptojacking“ (Krypto-Mining ohne das Wissen und die Zustimmung des Eigentümers der betroffenen Hardware) zu betreiben.

Das Rennen hat begonnen. Denn fast jedes Gerät oder System, welches sich auf irgendeine Art mit dem Internet verbindet, könnte betroffen sein. Der weltweit bekannte Sicherheitsforscher und Blogger, Graham Cluley, fasst es in ein paar einfachen Sätzen wie folgt zusammen:

Die Angriffe gehen sehr tief. Und es wird nicht nur irgendwelche Spiele-Server betreffen. Man muss wahrlich kein Genie sein, wenn man vorhersagt, dass die Sicherheitslücke ausgenutzt werden wird, um Malware einzuschleusen, Ransomware und Kryptomining-Code zu installieren und Daten und Benutzeranmeldeinformationen zu stehlen.

Graham Cluley

Eine mehr als nur fahrlässige Untertreibung des BSI

Die Tatsache, dass unser BSI derzeit von keiner konkreten Gefahr durch Log4Shell für Verbraucher spricht, ist daher leider nur sehr schwer ernst zu nehmen. Die potenzielle Gefahr für Endanwender herunterspielen zu wollen, kann nicht der richtige Weg sein, dieser „tickenden Zeitbombe“ zu begegnen.

Auch dann nicht, wenn Handys und iPads davon derzeit anscheinend nicht betroffen sind. Denn das alleine ist wirklich nur ein allzu schwacher Trost.

Offenbar sind Menschen, die sich ein bisschen für Computer interessieren und mehr als nur ein iPad zu Hause benutzen, für BSI-Präsident Schönbaum keine Verbraucher mehr, sondern Firmen und Behörden. Anders lässt sich seine Behauptung kaum erklären.

Boris Mayer

Wer noch mehr Informationen bezüglich dieser wahrscheinlich bislang schwersten Sicherheitslücke in der Geschichte des Internets sucht, der ist bei uns im Forum bestens aufgehoben.

Ihr seid direkt von Log4Shell betroffen oder wollt über die verharmlosende Einstufung des BSI diskutieren? Eure Meinung zu diesem Thema interessiert uns sehr.

Sunny

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.