Am Freitag wurde eine Sicherheitslücke in log4j bekannt, die weltweit für grosse Schlagzeilen sorgt. Sie betrifft zahlreiche Hersteller und macht Systeme rund um den Globus angreifbar. Wir informieren über das Problem, die Schwierigkeiten bei der Behebung und den aktuellen Stand der Dinge.

Die Themen im Überblick

  • log4j und log4shell einfach und verständlich erklärt
  • Warum ist diese Sicherheitslücke so gefährlich?
  • Welche Hersteller sind betroffen?
  • Wie lange dauert die Behebung der Sicherheitslücke?
  • Kann ich davon ausgehen, dass ich verschont blieb, wenn bisher nichts Verdächtiges auf einem Gerät vorgefallen ist?
  • Was ist der aktuelle Stand bei unseren Geschäftskunden?

log4j und log4shell einfach und verständlich erklärt

Um zu verstehen, weshalb die Sicherheitslücke für weltweites Aufsehen sorgt und warum höchste Warnstufen ausgesprochen werden, sind einige Hintergrundinformationen notwendig. Wir betrachten daher zunächst die beiden Begriffe log4j und log4shell im Detail:

Was ist log4j?

Jedes Programm, das Sie verwenden, besteht im Grunde aus einem riesigen Haufen Codes. Das ist der sogenannte Programmcode. Er stellt das Herzstück jeder Software dar. Viele Programme benötigen aber Funktionen, die auch in anderen Programmen vorkommen. Dazu gehören beispielsweise Login-Formulare oder Datumsanzeigen.

Damit nun für diese häufig genutzten Funktionen nicht bei jedem Programm ein neuer Code geschrieben werden muss, gibt es sogenannte Open-Source-Codes. Das sind sozusagen Programmteile, die weltweit von allen kostenlos ins eigene Programm eingebaut werden dürfen.

Log4j ist genau ein solcher Open-Source-Code. Seine Aufgabe ist das Protokollieren aller Ereignisse in der Software. Jede Änderung, die an der Software vorgenommen wird, wird aufgezeichnet. Aber nicht nur Veränderungen am Programm selbst, sondern auch andere Ereignisse werden dokumentiert. Hierzu gehören beispielsweise Fehlermeldungen, die bei den Programmnutzern auftreten oder je nach Programm auch, welche Benutzer sich wann angemeldet haben.

Damit diese Aufzeichnungen funktionieren, benötigt der Code sogenannte Variablen. Diese Variablen können beispielsweise die Zeit oder der Name des Benutzers sein. Um diese Informationen zu erhalten, muss das Programm sie sich zunächst irgendwo abholen. Dazu wird oft auf Daten aus dem Internet zugegriffen. Das Programm gibt also beispielsweise den Befehl «Ich muss die aktuelle Uhrzeit wissen, geh und hol die Information am Ort xy ab». Und genau in dieser Variablen liegt das aktuelle Problem.

Was ist log4shell?

Die nun bekannt gewordene Sicherheitslücke trägt offiziell den Namen «CVE-2021-4428». Damit die Kommunikation über die Sicherheitslücke vereinfacht werden kann, wird ihnen aber oft noch ein Übername – also eine Art Spitzname – gegeben, den man sich besser merken kann. In diesem Fall ist das «log4shell».

Was ist nun aber log4shell konkret? Wir haben vorher gelesen, dass der Programmcode auch aus Variablen besteht. Hinter denen befinden sich im Grunde genommen Befehle, die das Programm anweisen, eine bestimmte Handlung auszuführen. Die Sicherheitslücke besteht nun darin, dass dieser Befehl von aussen manipuliert werden kann. Vereinfacht gesagt bedeutet das, dass ein Angreifer dem Programm beispielsweise sagen kann: «Geh nicht die Information xy vom Ort xy abholen, sondern lade meinen Virus auf den Computer des Nutzers».

Warum ist diese Sicherheitslücke so gefährlich?

Da log4j weltweit von zahlreichen – teils namhaften – Herstellern in ihren Produkten verwendet wird, stellt diese Sicherheitslücke ein enormes Sicherheitsrisiko dar. Jedes Gerät, das ein betroffenes Programm nutzt, ist potenziell angreifbar. Während die Hersteller nun unbändig daran arbeiten, die Sicherheitslücken zu schliessen, suchen Angreifer bereits vollautomatisch nach noch bestehenden Lücken. Es ist also ein Wettlauf gegen die Zeit.

Welche Hersteller sind betroffen?

Aktuell kann dazu noch keine abschliessende Antwort gegeben werden. Viele Hersteller untersuchen ihre Produkte nach wie vor auf die Schwachstelle. Das kann einige Zeit in Anspruch nehmen. Momentan wächst die Liste der betroffenen Produkte kontinuierlich.

Wie lange dauert die Behebung der Sicherheitslücke?

Leider ist diese Frage nicht einfach zu beantworten. Die Sicherheitslücke muss in diesem Fall von jedem Hersteller selbstständig behoben werden. Ursprünglich ging man davon aus, dass ein einfaches Update der betroffenen log4j-Version dafür ausreicht. Heute wurde jedoch bekannt, dass die Lücke dadurch nicht restlos geschlossen werden kann. Die Hersteller müssen daher auf die neue Version umsteigen. Diese wurde allerdings erst heute freigegeben, weshalb Folgeprobleme noch nicht abschätzbar sind.

Kann ich davon ausgehen, dass ich verschont blieb, wenn bisher nichts Verdächtiges auf meinem Gerät vorgefallen ist?

Leider nicht, nein. Da die Hersteller noch nicht alle Lücken schliessen konnten, besteht nach wie vor die Gefahr angegriffen zu werden. Ausserdem geht man aktuell davon aus, dass das Ausmass von log4shell erst in einigen Wochen, wenn nicht sogar Monaten, bekannt wird. Das liegt insbesondere daran, dass sich Angreifer immer öfter unbemerkt in Systeme einnisten, vertrauliche Daten abgreifen und erst Wochen später zum Angriff übergehen, bei dem sie dann beispielsweise die Daten verschlüsseln.

Was ist der aktuelle Stand bei unseren Geschäftskunden?

Gemäss aktuellem Kenntnisstand besteht bei unseren Geschäftskunden zurzeit kein Handlungsbedarf. Wir informieren uns laufend über die neusten Herstellerinformationen, prüfen diverse Produkte regelmässig auf Updates und greifen ein, wo nötig.