Log4j: Was ist das überhaupt?

Log4j ist Bestandteil vieler Programme und dafür da, Fehlermeldungen zu protokollieren. Diese Programme sind weltweit sowohl auf Privat-PCs als auch auf großen Servern von Unternehmen im Einsatz. Log4j selbst ist nicht gefährlich, enthält aber eine Sicherheitslücke, die erst mit der nun veröffentlichten Version 2.15 geschlossen ist.

 

Warum ist Log4j so gefährlich?

Bei der Sicherheitslücke, die Log4j betrifft, fallen mehrere Dinge zusammen, die dafür sorgen, dass sie so gefährlich ist:

Viele IT-Administratoren und -User wissen gar nicht, welche der eingesetzten Programme Log4j nutzen. Selbst deren Hersteller können das teilweise nicht mit Sicherheit sagen. Der Grund ist, dass Log4j ein Java-Modul ist. Bei Java-Programmen nutzen manche Hersteller für einige Funktionen bereits fertige Module, von denen sie gar nicht wissen, was diese genau enthalten. Diese wiederum können ebenfalls aus mehreren Modulen zusammengesetzt sein. Nutzt eines dieser Module Log4j, ist am Ende das ganze Programm von der Lücke betroffen.

Log4j muss in jedem dieser Module gepatcht werden, damit eine neue sichere Programmversion entsteht. Ein Patch für Log4j steht zwar bereit, bis alle Hersteller betroffene Programme identifiziert und gepatcht haben, können aber noch Monate vergehen.

Die Angriffe erfordern keine Schadsoftware oder besonderen Rechte. Mit Tricks wie beispielsweise Benutzernamen, die aus den für den Angriff nötigen Befehlen bestehen, lassen sich auch mit eingeschränkten Rechten Angriffe starten. Das funktioniert auch aus der Ferne, wenn die betroffene Software aus dem Internet erreichbar ist.

Hacker greifen bereits Systeme an, um dort Ransomware zu installieren. Diese verschlüsselt dann unter anderem Nutzerdaten, um Lösegeld zu erpressen.

Selbst Systeme ohne Internetzugang sind verwundbar, sofern es Hackern gelingt, den entsprechenden Befehl etwa über Textdateien reinzuschmuggeln.

Nicht nur Programme, sondern auch Spiele sind betroffen, etwa die Java-Version von "Minecraft".

 

Wie schütze ich mich vor Log4j?

Als normaler Endanwender sollten Sie unbedingt ein zuverlässiges Schutzprogramm installiert haben, siehe oben. Das verhindert das Ausnutzen der Lücke nicht, erkennt und beseitigt aber Schadsoftware, die anschließend eingeschleust wird. Sie sollten alle installierten Programme auf aktuellem Stand halten. So patchen Sie nach und nach alle Stellen, an denen Log4j im Einsatz ist. Weitere Tipps zum Absichern gegen Log4j gibt es beispielsweise bei Avast.

Es ist jedoch unwahrscheinlich, dass gezielte Angriffe auf Endanwender ohne Schadsoftware durchgeführt werden. Für Unternehmen ist die Lücke deutlich gefährlicher und schwerer zu kontrollieren. Denn dort sind Server ständig im Internet erreichbar. IT-Fachpersonal muss jede eingesetzte Software exakt untersuchen, um die Schwachstellen überhaupt erst einmal zu finden.

Quelle: computerbild