Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt auf höchster Stufe vor einer schweren Sicherheitslücke. Die Lücke liegt in dem sehr weit verbreiteten Framework Log4j für Java Anwendungen. Angreifern ist es durch die Lücke möglich, in ein System vorzudringen und dort eigene Schadsoftware zu installieren, die es ihnen beispielsweise ermöglichen könnte, Daten zu stehlen.
Wie schlimm ist es?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die am Freitag bekannt gewordene Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek Log4j nachträglich hochgestuft. Seit Samstag gilt nun die höchste Warnstufe Rot.
Das BSI schreibt dazu: “Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mithilfe von Log4j Teile der Nutzeranfragen protokollieren.”
Die gesamte Tragweite der Sicherheitslücke ist bisher noch nicht absehbar. Von der Log4j-Sicherheitslücke betroffen sind jedoch nicht nur Server und Netzwerkkomponenten. Java-Programmcode ist auch in Zugangssystemen wie digitalen Automatisierungstechniken sowie Smart Home weit verbreitet. Ob auch diese Systeme durch die Sicherheitslücke kompromittierbar sind, ist noch unklar.
Wer ist betroffen?
Gefährdet sind nicht nur Großkonzerne. Log4j steckt auch in vielen Netzwerk- und Systemkomponenten, die in kleinen Unternehmen, aber auch von Privatpersonen und Mitarbeitern im Home-Office eingesetzt werden.
Inzwischen gibt es auch zahlreiche eigene Sicherheitshinweise von Herstellern auf die Lücke. Dazu gehören Apache Kafka, Broadcom, Cisco, F-Secure, Netapp, Sophos, Unifi oder auch VMware. So hat Ubiquiti bereits eingeräumt, dass das Konfigurations- und Verwaltungs-Frontend UniFi Network Application verwundbar ist und ein Update bereitgestellt.
Was muss getan werden?
Sofern nicht schon getan, sollte man unbedingt Backups aller Daten erstellen. Die Schwachstelle kann durch Anpassung einer Konfiguration behoben werden. Nutzer sind also darauf angewiesen, dass die IT-Administratoren der betroffenen Firmen die Lücke schnell schließen. Aus diesem Grund sollte man die Benachrichtigungen im Auge behalten und Software-Aktualisierungen umgehend installieren.