Sicherheitslücke in Log4j Wie Sie jetzt Ihre IT-Systeme vor Hackerangriffen bewahren
Sicherheitslücke Log4Shell

Eine Sicherheitslücke in der Java-Bibliothek log4j gefährdet die IT von Firmen weltweit. Cybersecurity-Expertin Carolin Desirée Töpfer erklärt, was Unternehmer tun müssen, um ihre IT-Systeme zu sichern.

impulse: Frau Töpfer, was macht die Sicherheitslücke „Log4Shell“ so gefährlich?

Carolin Desirée Töpfer: Beim Aufsetzen einer Java-App fangen wir Programmierer nicht bei null an, sondern nutzen ein Paket aus Bausteinen, zu denen auch die aktuell betroffene Log4j-Bibliothek zählt. Aus den Bausteinen basteln Programmierer sozusagen die Infrastruktur neuer Anwendungen zusammen.

Einfach übersetzt besteht die Sicherheitslücke bei Log4j darin: Einer dieser Bausteine, der tief in diesem Paket versteckt liegt, ist kaputt – und jeder Hacker kann ihn relativ einfach für seine Zwecke ausnutzen. Er kann darüber zum Beispiel einen anderen fremden Server als Teil der App-Infrastruktur platzieren.  Auf diese Weise können sich Cyberkriminelle auch Zugang zu ganz anderen Systemen verschaffen, Daten abgreifen um sie zu verkaufen oder aber Schadsoftware auf die Endgeräte spielen, die Daten verschlüsselt, um im Anschluss Geld zu erpressen.

Das klingt übel …

Ist es auch. Vor allem deshalb, weil die „Alarmanlagen“ der Systeme in diesem Fall oft nicht angehen. Denn weil der Baustein in die Infrastruktur eingearbeitet ist, erkennen sie die potenzielle Gefahr nicht. Das wirkliche Ausmaß dieser Sicherheitslücke ist noch gar nicht absehbar: Denn Java, die betroffene Programmiersprache, ist die zweithäufigste genutzte. Und auf den Apache-Webservern baut etwa ein Drittel des Internets auf. Zwar gibt es mittlerweile mehrere Berichte, Scanner und Software-Updates. Die müssen aber auch erst mal gelesen, genutzt und aufgespielt werden.

Wie können Unternehmen herausfinden, ob ihre IT-Systeme in Gefahr sind?

Die großen Unternehmen haben spezielle IT-Sicherheitsteams, die alle Updates zur Sicherheitslücke permanent im Blick haben und schon seit Tagen daran arbeiten, ihre Systeme und die ihrer Kunden zu sichern. Kleine und mittelständische Unternehmen aber haben häufig noch nicht einmal eine Übersicht ihrer unterschiedlichen IT-Systeme. Das ist das Hauptproblem, das sie zunächst angehen müssen. Um in einem zweiten Schritt diese Systeme zu sichern.

Was sollte man also genau tun?

Sofort loslegen – notfalls mit einer Excel-Liste. Fragen Sie als erstes sich und Ihre Mitarbeitenden, welche Anwendungen verwendet werden. Machen Sie dabei als Chef und Chefin deutlich, dass die Antwort auf diese Frage wirklich dringend ist! Die Rückmeldung sollte nicht länger als ein paar Stunden dauern. Dann listen Sie alles auf, was Sie an IT-Anwendungen nutzen: von der Buchungs-Website, über die Buchhaltungs-App bis zur Alarmanlage des Betriebsgebäudes, die ans Wlan-Netz angeschlossen ist.

Notieren Sie auch: Welcher Hersteller steht hinter der Anwendung, welche Agentur hat uns die App gebastelt, in welchen Rechenzentren stehen unsere Server – kurz: Wer kann mir Auskunft geben, wie sicher die Anwendung aktuell ist und sie zuverlässig überprüfen? Wenn Mitarbeiter, Geschäftsführung oder IT nicht alles zusammen bekommen, ruhig auch mal in die Buchhaltung schauen, wo das IT Budget in den letzten fünf Jahren hingegangen ist.

Und wenn ich diese Liste habe?

Dann nehmen Sie am besten den Telefonhörer in die Hand, rufen bei den Zuständigen an und fragen für die jeweilige Anwendung, ob sie von dem Problem betroffen ist – und, falls ja, wie und wann das Problem gelöst wird. Ob es beispielsweise einen Sicherheitsscan gibt, den Sie über die Anwendung laufen lassen können. Oder ob der Anbieter sich um ein Server-Update kümmert, das mittlerweile zur Verfügung steht.

Alles, was Sie auf diesem Wege herausfinden, notieren Sie in der Excel-Liste. Plus die Namen der Ansprechpartnerinnen oder Ansprechpartner. Diese Dokumentation ist übrigens kein Selbstzweck: Unternehmen sind laut DSGVO verpflichtet, ihre IT-Infrastruktur auf dem aktuellen Stand zu halten, um Ihre Daten und die der Kunden zu schützen.

Aber so etwas dauert doch ewig …

Das dauert ganz sicher eine Weile. Aber: Log4Shell ist kein Problem, das in ein paar Tagen gelöst ist. Das wird uns noch Monate beschäftigen. Fangen Sie aber bitte vor den Feiertagen noch an! Zum Vergleich: Die aktuelle Sicherheitslücke ist schwerwiegender als jene, die im Sommer Tausende Microsoft Exchange Server betroffen hat – und diese Lücke ist bis heute nicht überall geschlossen.

Zudem machen Hacker keine Weihnachtsferien, im Gegenteil! Rund um den 6. Dezember ist die Schwachstelle in den Log4Shell-Anwendungen öffentlich bekannt geworden. Seither suchen Cyberkriminelle weltweit nach Wegen, diese Lücke für sich zu nutzen. Und wir kennen mit Sicherheit noch längst nicht alles, was die sich einfallen lassen …

Also in den nächsten Tagen alle Kräfte bündeln für die IT?

Absolut! Ich sage es mal in aller Deutlichkeit: Ja, bald ist Weihnachten. Ja, viele Mitarbeitende sind aktuell krank – aber Sie müssen sich mit diesem Risiko jetzt beschäftigen. Denn klar ist, und zwar für alle Experten gleichermaßen: Wer jetzt nicht so viel Zeit und Ressourcen in die IT-Sicherheit steckt wie möglich und sich, falls es das noch nicht gibt, ein Netz an internen oder externen IT-Experten aufbaut, wird das mit einiger Wahrscheinlichkeit teuer mit einem Hackerangriff bezahlen.

Online finden sich bereits Berichte, dass die Lücke zur Verbreitung von Crypto Minern und Ransomware genutzt wird. Internationale Experten und Institutionen sprechen von der größten Schwachstelle des Jahrzehnts. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Warnstufe rot ausgerufen  – und das völlig zu Recht.

Viele fühlen sich von diesen ganzen Fachbegriffen überfordert …

Guter Punkt! Aus Sicht von Sicherheitsexperten und Programmier-Begeisterten ist das Ganze natürlich auch unglaublich spannend. Und da sprechen dann alle schnell Fachjargon. Unternehmerinnen und Unternehmer dürfen sich davon nicht abschrecken lassen. Das Wichtigste in diesem Moment: aktiv werden – aber nicht panisch.

Wer jetzt beispielsweise kopflos Software kauft oder einen (neuen) IT-Dienstleister beauftragt, vernachlässigt den Background-Check für solche Anbieter. Der kostet Zeit, ist aber nötig, um die Qualität eines solchen Dienstleisters zu sichern, dem ich ja auch wieder meine kompletten Daten anvertraue! Alles in Eigenregie reparieren zu wollen, geht ebenfalls garantiert schief. Fragen Sie gegebenenfalls Ihr lokales Netzwerk und lassen Sie sich Experten für ihre Branche und Anwendungen empfehlen.

Also am besten auch gar keine Nachrichten mehr zum Thema lesen?

Sie brauchen ausgewählte und seriöse Quellen, um informiert zu bleiben. Ich rate dazu, als Unternehmerin und Unternehmer auf Twitter beispielsweise dem BSI und den großen Telekommunikationsanbietern zu folgen – um grob auf dem aktuellen Stand zu sein, was Log4Shell betrifft. Auch in Tech-Foren mal mitzulesen, kann sich lohnen. Aber stellen Sie bitte niemals konkrete Fragen zu ihrer individuellen IT-Infrastruktur unter Klarnamen – denn natürlich lesen auch die kriminellen Hacker dort mit.

Was kann ich selbst denn noch tun, um meine Systeme vor Schäden durch Log4Shell zu schützen?

Lassen Sie auf jeden Fall aktuelle Sicherheitssoftware über PCs, Tablets und Smartphones im Unternehmen laufen. Fragen Sie den Installateur ihres IoT-Setups oder Ihres vernetzten Maschinenparks, wie aktuell zu verfahren ist, damit auch diese Netzwerke gesichert werden können. Die Hersteller arbeiten gerade an entsprechenden Scans. Machen Sie auch einen Sicherheitsscan des kompletten Netzwerks. Spielen Sie sämtliche Sicherheits-Updates vertrauter Software auf, die Ihnen in den nächsten Tagen und Wochen proaktiv angeboten werden.

Wichtig: All das müssen Sie auch über die Weihnachtstage sicherstellen! Bitten Sie außerdem die Mitarbeitenden – und zwar mit Nachdruck –, alle Anwendungen zu löschen, die diese gar nicht nutzen, sondern einfach noch auf den Geräten haben. Und: Seien Sie aktuell besonders vorsichtig mit der Nutzung von B2B-Apps, die nicht auf Servern von großen Unternehmen mit eigenen Sicherheitsabteilungen liegen und die nur eine kleine Zielgruppe haben.

Ich vermute, dass besonders branchenspezifische Lösungen und Individual-Projekte anfällig sind. Vielleicht eine App, mit der Sie Bestellungen, Schichtpläne oder kleinere Aufgaben organisieren. Oder Anwendungen, die speziell für Ihr Unternehmen gebaut wurden. Bei so etwas ist oft nicht ausreichend Budget für eine langfristige ordentliche Wartung eingeplant worden.

Was ist noch wichtig?

Seien Sie offen für Hinweise von außen! Häufig werden Sicherheitslücken in IT-Systemen von Unternehmen durch externe Dienstleister gefunden. Die schreiben dazu dann meist eine Mail. Das heißt: Sie sollten nicht jede Nachricht in Ihrem Posteingang, die von einem IT-Sicherheitsexperten oder Dienstleistern kommt, direkt als Spam abtun. Sondern im Zweifelsfall Danke sagen und um eine genauere Beschreibung bitten. Diese können Sie dann an Ihren IT-Experten weiterleiten oder den Absender direkt um Hilfe bitten. Meist sind diese Experten über Netzwerke wie Linkedin oder Xing auch mit ihrer Cybersicherheits-Firma zu finden.

Dann wissen Sie, mit wem Sie es zu tun haben. Außerdem immer gut: Fragen Sie befreundete Unternehmerinnen und Unternehmer aus Ihrer Branche, was bei denen los ist und wie sie das Problem der Sicherheitslücke angehen. Selbst, wenn auch diese Unternehmerinnen und Unternehmer noch keine komplette Lösung haben – gerade im Bereich IT-Sicherheit hilft es ungemein, sich mit anderen auszutauschen. Schon, um das Gefühl der Unsicherheit zu mindern.

 

Diese Muster-Mail hilft Ihnen, die richtigen Informationen von IT-Dienstleistern abzufragen: 

Sehr geehrte Damen und Herren,

Sie haben in den letzten Jahren folgende Websites bzw. Apps/ Anwendungen für uns erarbeitet/ betreut:

1.

2.

3.

Wie Sie sicher schon mitbekommen haben, wurde Anfang Dezember die Sicherheitslücke CVE-2021-44228der Java-Bibliothek log4j, auch unter dem Namen Log4Shell bekannt, u.a. vom Bundesamt für Sicherheit in der Informationstechnik als extrem kritische Bedrohungslage eingestuft.

Siehe auch: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html

Bitte schicken Sie uns bis zum [DATUM] eine Übersicht, welche dieser Anwendungen (potenziell) von der aktuellen Sicherheitslücke betroffen sind.

Bitte teilen Sie uns mit, ob und bis wann Sie die notwendigen Scans und Sicherheitsupdates durchführen. Sollten zusätzliche Kosten für diese Services und Updates anfallen, senden Sie uns bitte zeitnah einen Kostenvoranschlag.

Zudem benötigen wir jeweils einen Abschlussbericht für unsere Datenschutz- & IT-Sicherheits-Dokumentation. Gerne per PDF an [MAIL-ADRESSE DATENSCHUTZBEAUFTRAGTER/ IT-SICHERHEITS-BEAUFTRAGTER]

Mit besten Grüßen

[GESCHÄFTSFÜHRER]

100 Ideen, die Ihr Unternehmen voranbringen

Sie wünschen sich motivierte Mitarbeiter, mehr Produktivität oder zufriedene Kunden? Unsere 100 Ideen bringen Sie und Ihr Unternehmen diesem Ziel näher. Jetzt kostenlos herunterladen! 100 Ideen
1 Kommentar
  • Heiko Roth 15. Dezember 2021 08:08

    In der log4j Bibliothek und im Java darunter ist nichts kaputt. Alles funktioniert, wie gewollt, nur wollte das nicht jeder Java ProgrammiererIn so. Gerade darin liegt das perfide Problem.

    Das Problem ist, dass ein Feature, nämlich die Verwendung von JNDI, bei log4j per Standard aktiviert ist. Und JNDI erlaubt es, Code aus der Ferne zu holen und lokal mit den Rechten der Applikation in der Applikation aufzurufen. Das ist genauso gewollt und Sinn und Zweck von JNDI. Wenn man JNDI verwendet, muss man sich selbst um die Sicherheit kümmern, z.B. woher man den Code holt. Auf keinen Fall sollte man den Code über die Eingabe eines Clients holen, denn der kann alles mögliche senden. Genau das ist bei dem aktuellen Sicherheitsproblem aber der Fall.

    Ziel war es z.B., Benutzer-IDs für Logausgaben in Benutzerklarnamen auflösen zu können. JNDI ist aber mächtig und somit kann alles mögliche ausgeführt werden. Und da Java noch dazu das Betriebsystem abstrahiert, geht das überall, auf dem Router, in der Waschmaschine, auf dem PC, Mac, der Linux Workstation oder auch auf einem Server. Überall.

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)