München – Eine Sicherheitslücke bedroht Millionen Nutzer. Niklas Keller, IT-Sicherheitschef für Deutschland, Österreich und die Schweiz beim IT-Systemanbieter Bechtle, erklärt, wie sich Nutzer vor den Auswirkungen der sogenannten Log4j-Lücke schützen können.
Die Log4j-Sicherheitslücke hat weltweit für Aufsehen gesorgt. Inzwischen ist es ruhiger geworden. Hat sich das Thema erledigt?
Im Gegenteil, wir gehen davon aus, dass Hacker gerade Schläferprogramme platzieren, um an den Feiertagen richtig loszuschlagen. Davon dürften die Computerprogramme jedes zweiten bis dritten Herstellers betroffen sein. Beispielsweise musste das belgische Verteidigungsministerium Teile seines Netzwerks runterfahren. Grundsätzlich sind vor allem Unternehmen das Ziel strategischer Angriffe. Es können aber auch Privatnutzer betroffen sein. Das Bundesamt für Sicherheit in der Informationstechnik hat zu Recht die „Alarmstufe Rot“ ausgerufen. Das war zuletzt bei der Microsoft-Exchange-Lücke im Frühjahr der Fall.
Wie konnte es so weit kommen?
Log4j ist eine Open-Source-Datei mit einer Protokollierungsfunktion, die sehr weit verbreitet ist. Durch ihre Konstruktion ist sie aber ungewollterweise anfällig für die sogenannte Remote Code Execution. Das heißt, dass man eine bestimmte Zeichenfolge an eine Applikation oder Webseite schickt, die die Log4j-Datei verwendet. Statt diese Zeichenfolge als normalen Protokolleintrag zu verbuchen, wird sie als Code ausgeführt. Das öffnet Hackern eine Tür, durch die sie in das Programm eindringen können. Unbemerkt besteht die Sicherheitslücke seit 2013.
Was kann passieren?
Am gefährlichsten sind gezielte Hackerangriffe auf Unternehmen. Das können zum einen Ransomware-Attacken sein. Dabei werden die Systeme der Betroffenen verschlüsselt und erst gegen Lösegeld wieder brauchbar gemacht. Zeitgleich wird meist mit der Veröffentlichung der gestohlenen Daten im Dark- net gedroht. Ein weiteres Szenario ist die Verbreitung von sogenannten Cobalt-Strike Beacons. Dabei können Hacker das komplette System fernsteuern. Erste Angriffe dieser Art haben wir im Zusammenhang mit der Log4j-Lücke schon beobachtet.
Wie kann man sich schützen?
Die Hersteller arbeiten mit Hochdruck daran, die Lücken zu schließen. Das nützt Anwendern aber nur, wenn sie umgehend die verfügbaren Software-Updates installieren. Zusätzlich sollte darauf geachtet werden, ob es zu ungewöhnlichen Aktivitäten kommt. Kommerzielle Nutzer müssen jetzt außerdem prüfen, wo in ihrer Softwarearchitektur die Sicherheitslücken existieren, wie man sie schließen kann und ob die Angreifer schon im System sind. Das ist ja auch die Aufgabe eines IT-Dienstleisters: Schwachstellen identifizieren, beheben und – im schlimmsten Fall – Attacken abwehren und forensisch untersuchen, wie weit die Angreifer gekommen sind. Dafür gehen wir seit dem Bekanntwerden der Schwachstelle auch aktiv auf unsere Kunden zu. Sollte es jedoch eine Sicherheitslücke geben, die man nicht sofort schließen kann, muss man erwägen, das System vom Netz zu nehmen, weil das Risiko eines Angriffs sehr hoch ist.
Aber gerade jetzt gehen auch viele IT-Experten in den Weihnachtsurlaub.
Und das werden die Kriminellen ausnutzen. Die Attacken werden bevorzugt gestartet, wenn niemand in der Firma ist, um ihr Handeln zu entdecken. Wir erwarten, dass viele Angreifer aktuell warten, bis sich der erste Rauch verzogen hat, um loszuschlagen. Wir befürchten daher eine massive Angriffswelle an Weihnachten. Das kann bei Firmen, die die Lücken nicht rechtzeitig beheben, zu hohen finanziellen Schäden und im Zweifel auch zu einer existenziellen Bedrohung führen.
Interview: Matthias Schneider