Log4j – was ist das und was ist zu tun?

1 Die Sicherheitslücke gefährdet die Sicherheit im Netz (Symbolbild). Foto: dpa/Silas Stein

Am Freitag wurde eine neue IT-Sicherheitslücke bekannt: Log4j, auch Log4Shell genannt. Sie stellt überall im Netz eine Gefahr für die Sicherheit dar. Die höchste Warnstufe „Rot“ wurde ausgerufen. Was ist das und was ist zu tun?















Am Freitagnachmittag wurde eine neue IT-Sicherheitslücke bekannt. Dabei handelt es sich um Schwachstelle in einer Java-Bibliothek, die weit verbreitet ist. Umgangssprachlich wird sie Log4Shell genannt. Sie gefährdet weltweit Millionen Onlineanwendungen und Apps. Betroffen sind unter anderem die iCloud, der Speicherdienst von Apple, Minecraft und die Computerspiel-Plattform Steam. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhöhte am Samstagabend die IT-Bedrohungslage auf die höchste Warnstufe „Rot“. Die IT-Alarmglocken läuten.

Was ist das?

Das BSI erklärt „Log4j“ mit diesen Worten: „eine beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Aggregation von Protokolldaten einer Anwendung“. Angreifer können nun unter Umständen ihren Softwarecode auf den Servern ausführen und damit Schadprogramme laufen lassen und sogar das System vollständig übernehmen. Die Sicherheitslücke (CVE-2021-44228) ist auf einige Versionen der Log4j-Bibliothek beschränkt. Es sind noch nicht alle Auswirkungen überschaubar. Die Software wird auf extrem vielen Servern eingesetzt und es ist technisch sehr einfach, die Lücke auszunutzen. Das dürfte die IT noch über Wochen und Monate hinweg beschäftigen.

Was ist zu tun?

Das Problem betrifft in erster Linie die Anwender – Betreiber von Diensten und IT-Infrastruktur. Diese können aktuell nicht viel mehr machen als abzuwarten, beim Hersteller nachzufragen und ankommende Patches schnellstmöglich zu installieren. Für Endanwender sind hier wieder die Basics der Online-Sicherheit wichtig. Man sollte nicht überall dasselbe Passwort verwenden und es empfiehlt sich auch, die Zwei-Faktor-Authentifizierung zu aktivieren. Zu Benutzername und Passwort kommt hier noch ein Code dazu, der beispielsweise im eigenen Smartphone erzeugt wird. Dadurch kommen Kriminelle auch mit den Zugangsdaten nicht in die Onlinekonten.