Die kritische Schwachstelle “Log4Shell” und was das für Sie bedeutet!

Was hat es mit der Sicherheitslücke “Log4Shell” auf sich?

Die sogenannte “Log4Shell” Schwachstelle in der weit verbreiteten Log4j Protokollierungsbibliothek für Java-Anwendungen wurde am 10.12.2021 veröffentlicht und gilt als größte Sicherheitslücke in der Geschichte des Internets.

Was genau hat es damit auf sich? Java ist eine beliebte und sehr weit verbreitete, objektorientierte Programmiersprache. Zahlreiche Programme, Webanwendungen und Android-Apps sind in Java programmiert. Aber auch andere Anwendungen, die nicht unmittelbar auf Java basieren, stehen häufig mit anderen Programmen in Verbindung, die wiederum in Java geschrieben worden sind. Kurz gesagt: Fast jeder, der das Internet nutzt, kommt irgendwann zwangsläufig mit Java in Berührung. In Java dient das Framework Log4j dem Protokollieren von Anwendungsanmeldungen. So kann relativ einfach festgestellt werden, wann eine bestimmte Seite ausgerufen oder sich dort angemeldet wurde. Aufgrund ihrer einfachen Anwendung ist Log4j eine beliebte Protokollierungsbibliothek. Es handelt sich dabei um einen Open-Source-Code, welcher nicht nur kostenlos verwendet, sondern von allen, die es nutzen möchten, offen eingesehen werden kann.

Die nun aufgedeckte Server-Schwachstelle ermöglicht es, Angreifenden ab den Versionen 2.0 auf dem Zielsystem einen eigenen Programmcode auszuführen, was zur Kompromittierung des Zielsystems führen kann. Große Sorgen bereitet daneben auch die Tatsache, dass diese Schwachstelle nicht nur dazu genutzt werden kann, um weitere Schadsoftware zu erzeugen, sondern auch für das unberechtigte Kopieren, Übertragen oder Abrufen von Daten. Das BSI stuft die aktuelle IT-Bedrohungslage für Geschäftsprozesse und Anwendungen als extrem kritisch ein und hat die höchste Warnstufe “rot” ausgesprochen.

Harte Fakten

  • Alarmstufe rot:
    Das BSI stuft das Risiko durch die Schwachstelle in Log4j mit dem höchstmöglichen Wert „10“ ein – es gilt die höchste Warnstufe Rot

  • Versionen Log4j 2.0 bis 2.16 betroffen:
    Die Schwachstelle ist in den Log4j Versionen 2.0 bis 2.16 vorhanden und ermöglicht Angreifern einen schädlichen Programmcode auf dem Zielsystem auszuführen

  • Auch private Nutzer betroffen:
    Log4Shell bedeutet nicht nur Alarmstufe Rot für Unternehmen, sondern auch private Nutzer können durchaus von den Auswirkungen der Lücke betroffen sein

  • Auswirkungen noch ungewiss:
    Bis das Ausmaß des Problems verstanden und behoben werden kann, wird es noch einige Zeit dauern: Die Auswirkungen können noch Wochen, Monate oder sogar Jahre spürbar sein

Häufig gestellte Fragen zu Log4j: