Multimedia
"Größte Lücke seit Anbeginn der Internetzeitrechnung"
In Java-Software gibt es eine Lücke, die Milliarden Geräte weltweit bedroht. Betroffen sind Firmen wie Apple und Tesla. Auch kritische Infrastruktur.
In der weltweiten IT-Infrastruktur klafft ein gigantisches Loch. IT-Experte Marc Ruef von Scip AG erklärt das Ausmaß. Die Schwachstelle Log4shell betrifft Milliarden Geräte. In Gefahr sind neben Firmen auch wir als Privatpersonen.
„Was ist Log4shell?“
Marc Ruef: Es handelt es sich hierbei um eine Schwachstelle in einem sehr bekannten Modul namens Log4j. Dieses wird für die Protokollierung von Daten eingesetzt. Ein Protokollierungsmodul sollte Notizen anfertigen. Das klingt simpel – ist es eigentlich auch. Es wurde jedoch konzeptionell der Fehler gemacht, dass die zu protokollierenden Zeichenketten interpretiert und angereichert werden können. Diese eingeführte Komplexität macht es nun möglich, dass durch geschickte Anfragen eigene Kommandos zur Ausführung gebracht werden können.
„Wie gefährlich ist die Lücke?“
Verschiedene Quellen gehen davon aus, dass bis zu drei Milliarden Systeme betroffen sein könnten. Damit gilt diese Schwachstelle als die größte seit Anbeginn der Internetzeitrechnung. Hinzu kommt, dass die betroffenen Komponenten exponiert sind, sich der Angriff relativ einfach ausnutzen lässt und er durch Maßnahmen nur schwer abzuwehren ist.
„Wer ist betroffen?“
Alle, die Apache Log4j einsetzen. Praktisch jedes mittlere und größere Unternehmen wird wohl mindestens ein Produkt einsetzen, das sich darauf abstützt. Auch große Anbieter wie Apple, Amazon, Google und Tesla waren betroffen. Dienstleister in den Bereichen Strom, Wasser und Verkehr werden genauso betroffen sein.
„Wieso sind so viele davon betroffen?“
Moderne IT ist leider ein Flickwerk verschiedener Produkte, was zu einem Mehr an Fragilität führt. Das, was wir hier beobachten, ist die neue Normalität. Solange kein Umdenken in der IT stattfindet, werden wir diesen Effekt auch in Zukunft immer mehr sehen. Ein Trend, der unbedingt bekämpft werden muss.
„Wie hoch ist die Gefahrenlage?“
Dies ist schwierig einzuschätzen. Nachdem Berichte von ersten systematischen Angriffsversuchen bekannt wurden, muss man davon ausgehen, dass Kriminelle Profit aus dem Problem schlagen wollen. Es ist absehbar, dass in den kommenden Tagen erste konkrete Meldungen zu Kompromittierungen, Ransomware-Angriffen und Datenabflüssen die Runde machen werden.
Warnung
Das Nationale Zentrum für Cybersicherheit (NCSC) hat am Samstag begonnen, potenziell verwundbare Organisationen in der Schweiz zu informieren. Solche Benachrichtigungen sind auch an mehrere Betreiber von kritischer Infrastrukturen verschickt worden. Beim NCSC sind bislang noch keine Meldungen zu erfolgreichen Angriffen in der Schweiz eingegangen, bei der die genannte Schwachstelle ausgenutzt wurde.
Allerdings gilt hierzulande keine generelle Meldepflicht für Cybervorfälle. In der Bundesverwaltung werden seit Bekanntwerden der Lücke laufend alle möglichen Vorkehrungen getroffen, um die Infrastruktur bestmöglich zu schützen, heisst es auf Anfrage. Das NCSC ist seit Bekanntwerden der Lücke in ständigem Kontakt mit nationalen und internationalen Partnern zu diesem Thema.
„Wie schwierig ist es, die Lücke auszunutzen?“
In seinen Grundzügen handelt es sich hier um einen sehr einfachen Angriff. Wie so oft liegt aber der Teufel im Detail: Um einen reibungslosen Angriff in einer individuellen Zielumgebung durchsetzen zu können, braucht es sehr viel technisches Verständnis. Das lässt sich nicht mal eben schnell erlangen.
„Wie unmittelbar ist die Bedrohung für mich?“
In erster Linie betrifft die Schwachstelle Betreiber von IT-Infrastruktur. Endanwender setzen die betroffene Software-Komponente eigentlich nicht ein. Sie können aber dennoch indirekt von erfolgreichen Angriffen betroffen sein, wenn ihre Benutzerdaten zum Beispiel plötzlich zerstört oder verkauft werden. Wir rechnen damit, dass auf der Basis dieser Schwachstelle in den kommenden Wochen ein Mehr an Nutzerdaten im Darknet zum Kauf angeboten werden.
„Wie kann das Problem behoben werden?“
Grundsätzlich sollte eine aktualisierte Version der betroffenen Komponente eingespielt werden. Dies klingt einfach, ist es aber in der Realität nicht immer: Oftmals weiß man gar nicht, wo diese überall zum Einsatz kommt. Oder es ist nicht klar, ob man diese ohne weiteres aktualisieren kann, ohne dass Abhängigkeiten gefährdet werden. Mittelfristig muss man diskutieren, ob Log4j nicht schlichtweg sein Ziel verfehlt hat und durch die Komplexität sicherheitstechnisch vorerst seine Daseinsberechtigung verloren hat.