Schwachstelle in Log4j: Warum die Politik jetzt handeln muss

Die am letzten Wochenende aufgedeckte Schwachstelle im Log4j-Programm ist ein Sicherheitsnotfall für Unternehmen und private Anwender, die Apple, Google, Amazon und andere Anwendungen nutzen. Sie alle stehen nun angreifbar da, weil eine weit verbreitete Komponente der Java-Software eine Sicherheitslücke aufweist. „Stellen Sie sich vor, der standardmäßig genutzte Mauerstein Ihres Hauses hält nicht und bringt das ganze Gebäude in Einsturzgefahr – gleichzeitig nutzen Kriminelle den Stein, um Ihnen die Scheibe einzuschlagen. Diese Gefährdungslage haben wir nun millionenfach bei der Log4j-Schwachstelle“, rät Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrat Deutschland e.V.

Schwachstelle ermöglicht die Nutzung fremder Computer

Der Programmbaustein Log4j wurde im Open-Source-Verfahren entwickelt und von zahlreichen Softwareherstellern übernommen. Er dient dazu die Aktivitäten eines Programms zu protokollieren, um Probleme im Nachhinein lösen zu können. Die aufgetretene Schwachstelle ermöglicht es Eindringlingen, eigenen Programmcode ins Protokoll zu schreiben und auszuführen. Mögliche Ziele sind dabei die Nutzung fremder Computer zur Herstellung von Kryptowährungen, die Verschlüsselung von Dateien zum Erpressen von Lösegeld oder eine vollständige Übernahme des Systems.

Da die Sicherheitslücke von den Programmbetreibern geschlossen werden muss, sind Firmen und Verbraucher aktuell hilflos. Der Vorfall zeigt die Abhängigkeit von Softwarekomponenten – sowohl bei einzelnen Personen als auch großen Konzernen. Hans-Wilhelm Dünn empfiehlt in dieser Situation: „Installieren Sie unverzüglich die Updates, die Ihnen angeboten werden. Sichern Sie Ihre alle Ihren relevanten Daten offline, um das Schadenspotenzial gering zu halten.“

Für BSI die aktuell größte Bedrohung im Cyberraum

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft. Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führe zu einer extrem kritischen Bedrohungslage. Für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Die Schwachstelle ist zudem leicht ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar. Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssten Hersteller alle Produkte, die Log4j verwenden, ebenfalls anpassen.

„Wir dürfen uns nicht blind darauf verlassen, was Softwareanbieter uns in ihre Programme schreiben. Unternehmen und Verbraucher haben nicht die Expertise, um sich vor den Fehlern anderer zu schützen. Deshalb muss die Politik handeln und eine unabhängige Zertifizierung von sicherheitsrelevanter Software ermöglichen. Sicherheit ist eine Staatsaufgabe – diesem Anspruch muss die Bundesregierung auch im digitalen Raum gerecht werden“, fordert Hans-Wilhelm Dünn.

Die Cyber-Sicherheitsrat Deutschland e.V. gründeten namhafte Persönlichkeiten im August 2012. Der in Berlin ansässige Verein ist politisch neutral und berät Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit. Zu den Mitgliedern des Vereins zählen große und mittelständische Unternehmen, Betreiber kritischer Infrastrukturen sowie Bundesländer und Bundesinstitutionen, Experten und politische Entscheider mit Bezug zum Thema Cyber-Sicherheit. Über seine Mitglieder repräsentiert der Verein mehr als drei Millionen Arbeitnehmer aus der Wirtschaft und knapp zwei Millionen Mitglieder aus Verbänden und Vereinen. Der Cyber-Sicherheitsrat Deutschland e.V. informiert und unterstützt mit vielfältigen Angeboten seine Mitglieder und richtet seine Tätigkeiten an deren operativen und betrieblichen Bedürfnissen aus. (sg)

Lesen Sie auch: IT-Security-Trends 2022: Künstliche Intelligenz macht Cyberattacken gefährlicher