Sicherheitslücke Log4j: Größte Schwachstelle in der Geschichte des Computing?

Quelle: PDPics@pixabay.com

Eine Sicherheitslücke in der Software-Bibliothek „Log4j“ bedroht aktuell Unternehmen und Behörden. Davon betroffen sich auch einige Krankenversicherer, sodass die elektronische Patientenakte (ePA) bei einigen Krankenkassen nur eingeschränkt nutzbar gewesen sei.

Eine Sicherheitslücke in einer Java-Komponente Log4j sorgt seit dem Wochenende für schlaflose Nächte bei IT-Dienstleistern und Firmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die höchste Warnstufe Rot ausgesprochen. Und stark vereinfacht bedeutet dies, dass es Hackern leicht möglich ist, dank eines weit verbreiteten Programmschnipsels ganze Systeme zu kapern und zu übernehmen. Verwendet wird es in den größten Unternehmen: zum Beispiel im Serverdienst von Amazon oder Apples iCloud.

Wie ernst die Lage ist, zeigt ein Statement des IT-Sicherheitsexperten Amit Yoran, Chef des Cybersecurity-Unternehmens Tenable. Es handle sich um die „größte und kritischste Schwachstelle des letzten Jahrzehnts“, zitiert die FAZ den Fachmann. Und er geht sogar noch weiter. „Wenn alle Untersuchungen abgeschlossen sind, könnten wir tatsächlich feststellen, dass es sich um die größte einzelne Schwachstelle in der Geschichte des modernen Computing handelt.“ Yoran muss es wissen: Er hat viele Jahre die IT-Sicherheitsstrategie des Ministeriums für Innere Sicherheit der Vereinigten Staaten verantwortet.

Ziel der Attacken sind Server

Doch was verbirgt sich hinter der Schwachstelle? Der ausgenutzte Fehler ist in einer beliebten Java-Codebibliothek namens Log4j (Logging for Java) enthalten. Die Lücke erlaubt es, große Server anzugreifen, Systeme zu übernehmen und entsprechend auch hochsensible Daten zu stehlen. Hierfür durchsuchen die Hacker das Netz automatisiert nach verwundbaren Systemen. Nutzen die Angreifer die Lücke erfolgreich aus, erhalten sie praktisch eine Shell (Hülle), so erklärt der Sicherheitsdienst Sophos. Das heißt, sie können jeden Systemcode ihrer Wahl ausführen - und folglich nicht nur Schadsoftware installieren, sondern das System komplett übernehmen.

Betroffen ist die aktuelle Version der Log4J-Bibliothek mit der Version 2. Dabei dient die Komponente eigentlich dazu, Software-Entwicklern und Betreibern die Arbeit zu erleichtern. Sie erlaubt es, Log-Einträge in Software-Produkten aufzuzeichnen: Damit lässt sich das korrekte Verhalten einer Software kontrollieren. Doch das ist auch das Problem dabei: Das Hilfsprogramm vermerkt alles, was auf einem System passiert. Und lässt sich leicht überlisten:

Dabei machen sich die Angreifer zunutze, dass der Server selbst nach harmlosen Anfragen automatisch Programmcode ausführt, sobald bestimmte Zeichenketten an den Server zurückgeschickt werden. Auch fremde Daten und Befehle werden -sobald eingeschleust- in die Logdatei übernommen. So lassen sich „Sprengfallen“ platzieren: Der Server wandelt die Daten in ein Format um, das es erlaubt, diese Daten zu protokollieren. Und übernimmt auch die Malware mit. Hierfür benötigen die Angreifer im Idealfall nicht einmal ein Passwort. Sogar ein unerfahrener Hacker könne von solchen Schwachstellen profitieren, berichtet Evgeny Lopatin, Sicherheitsexperte bei Kaspersky.

Wie einfach es den Hackern gemacht wird, geht aus einem Beispiel des Bundesamts für Sicherheit in der Informationstechnik hervor. "Im populären Online-Videospiel Minecraft beispielsweise sollen Kriminelle die Lücke auf gewissen Servern ausnutzen können, indem sie lediglich bestimmte Chat-Nachrichten eingeben. Damit könnten sie Spielserver oder Accounts übernehmen und so die IT-Sicherheit der Spielerinnen und Spieler gefährden", berichtet die Behörde. Das Hacken: ein Kinderspiel.

Wettlauf zwischen Hackern und Sicherheitsexperten

Ein weiteres Problem: Die Sicherheitslücke wurde öffentlich kommuniziert, bevor Sicherheitsexperten entsprechende Patches entwickeln konnten, um sie zu schließen. Am Wochenende ist daher ein Wettlauf zwischen Hackern und IT-Dienstleistern entbrannt. Das BSI warnte am Sonntag, dass die Schwachstelle bereits von vielen Kriminellen aktiv ausgenutzt werde. Unter anderem werde die Rechenkraft gehackter Server von sogenannten „Kryptominern“ genutzt, um die enorm energieaufwendigen Kryptowährungen wie Bitcoin zu schürfen.

Doch die Attacken müssen nicht sofort erfolgen. Angreifer bauen unauffällige Hintertüren in die gehackten Systeme ein, um zum Beispiel in ein paar Wochen eine Ransomware-Attacke zu starten. Dabei werden Daten von Unternehmen verschlüsselt, um dann Lösegeld zu erpressen. „Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später“, zitiert spiegel.de Rüdiger Trost von der IT-Sicherheitsfirma F-Secure.

Die notwendigen Wartungsarbeiten haben dazu beigetragen, dass auch einige Gesundheitsdienste der Krankenkassen nur eingeschränkt nutzbar waren. Das geht aus Informationen auf der Webseite von Gematik hervor, die unter anderem die elektronischen Gesundheitskarten und die Patienakten betreuen. Zwischenzeitlich sei das Versichertenstammdatenmanagement (VSDM) nicht nutzbar gewesen. "Die aktuellen Wartungsmaßnahmen betreffen zurzeit nur noch die Nutzung der ePA für AOK-Versicherte. Das VSDM ist wieder für alle Versicherten erreichbar", heißt es nun auf der Webseite.

Wen betrifft die Attacke?

Wen aber betrifft nun die Attacke - und wer sollte tätig werden? Zum Handeln aufgefordert sind zunächst Unternehmen und ihre IT-Abteilungen. So befürchtet der Gesamtverband der Deutschen Versicherungswirtschaft (GDV), dass speziell kleine und mittlere Firmen zur Zielscheibe der Hacker-Attacken werden könnten. "Die kommenden Sicherheitsupdates zum Schließen der #Log4j-Lücke schützen nur den, der sie auch installiert - und hier verlieren zu viele Mittelständler wertvolle Zeit", twitterte Jörg Asmussen, Hauptgeschäftsführer des GDV, am Montag Vormittag. Er machte auf eine Umfrage im Auftrag des GDV aufmerksam, wonach viele Firmen ihre Systeme und Programme nicht regelmäßig updaten.

Trittbrettfahrer erwartet

Dennoch warnen mehrere Sicherheitsexperten davor, auch als Privatperson die Gefahren der Sicherheitslücke zu unterschätzen. Betroffen sein könnten zum Beispiel auch Personen, die Cloud-Server nutzen, etwa von einem Hostinganbieter, berichtet Sophos. Etwa, wenn über einen solchen Anbieter „ein Blog, ein Forum oder eine Familienwebsite“ betrieben werde. Dann solle man sich beim Anbieter erkundigen, ob die eigenen Daten und Services betroffen seien.

Eine weitere Gefahr für Privatpersonen sind Trittbrettfahrer: Kriminelle, die die nun entstehende Unsicherheit gezielt ausnutzen. Sie schicken etwa gefälschte Warn-Mails an Privatpersonen, in denen darin aufgefordert wird, einen bestimmten Link anzuklicken, damit man bestimmte Sicherheits-Updates installiere. Und diese führen dann auf Webseiten mit Schadsoftware. Das Heimtückische daran: selbst, wenn diese Nachrichten von scheinbar seriösen Anbietern stammen, müssen sie nicht echt sein, warnt Sophos. Schließlich könnten Systeme erfolgreich gekapert werden. Nutzer sollten solche Nachrichten kritisch prüfen und sich über die offiziellen Kanäle bei den jeweiligen Firmen erkundigen.

Auch das BSI hat inzwischen nachgebessert und Informationen für Privatnutzer bereitgestellt. "Die größte Gefahr stellt die Schwachstelle "Log4Shell" für Betreiber von Servern und Rechenzentren dar. Dennoch können Verbraucherinnen und Verbraucher betroffen sein, zum Beispiel wenn auf privaten Geräten verwundbare Log4j-Versionen eingesetzt werden. Selbst wenn nicht, können Anwenderinnen und Anwender Schaden davontragen, indem ihre Daten gestohlen werden, wichtige Dienste ausfallen oder Ihre Systeme infiziert werden", schreibt die Sicherheitsbehörde auf ihrer Webseite. Der Rat: Updates für Betriebssysteme und Anwendungsprogramme sollten Privatnutzer umgehend installieren.

Ein Maßnahmenpaket gibt das BSI auch Systemadministratoren zur Hand:

  • Das Update auf die aktuelle Version 2.15.0 von "Log4j" sollte schnellstmöglich in allen Anwendungen durchgeführt werden.
  • Updates aller übrigen Geräte und Dienste sollten eingespielt werden, sobald sie zur Verfügung stehen. Einige Unternehmen/Einrichtungen wie VMware, Apache oder Unifi haben bereits Patches veröffentlicht.
  • Nicht zwingend benötigte Systeme sollten abgeschaltet werden.
  • Es sollte geprüft werden, mit welchen Rechten die betroffenen Dienste versehen sind. Diese sollten auf das notwendige Minimum reduziert werden.
  • Server sollten generell nur solche Verbindungen (insbesondere in das Internet) aufbauen dürfen, die für den Einsatzzweck zwingend notwendig sind.