Java – Jawas geht denn nun ab? Seit dem Wochen­ende ist digi­tale Sicher­heit wieder in aller Munde, dank einer signi­fi­kanten IT-Sicher­heits­lücke in einer häufig genutzten Biblio­thek (Log4j) der Java- Soft­ware. Das BSI, Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik, stei­gerte am Samstag die Warn­stufe zur Sicher­heits­lücke von Orange auf Rot. Grund zur Panik?

Die wich­tigste Infor­ma­tion schonmal vorab: Wir geben Entwar­nung an unsere Kunden, die Lösungen der ecm:one sind von dieser Schwach­stelle nicht betroffen.

Aber beginnen wir ganz am Anfang.

Was ist Log4j?

Log4j ist eine beliebte, in Java geschrie­bene Logging-Biblio­thek. Sie dient dazu verschie­dene Abläufe im Server­be­trieb wie in einem Logbuch aufzuzeichnen.

Der Code wird welt­weit in allen Arten von Soft­ware­an­wen­dungen einge­setzt, etwa um Infor­ma­tionen zu IP-Adressen, Brow­sern, Anfragen und aufge­ru­fenen Seiten zu proto­kol­lieren. Er hilft System­ad­mi­nis­tra­toren zu über­wa­chen, über­prüft ob die Soft­ware reibungslos läuft, und kann auch dabei helfen, Fehler zu finden, wenn etwas schief läuft.

An diesem Wochen­ende wurde eine Schwach­stelle im Log4j-Logging-Frame­work entdeckt, die jedes Unter­nehmen, das Soft­ware mit Log4j betreibt, gefährdet.

Was genau ist das Problem dabei?

Die Sicher­heits­lücke im Log4j-Code ermög­licht es Angrei­fern, Befehle auf Servern auszu­führen. Dadurch können sie auf Systeme zugreifen, Anmel­de­in­for­ma­tionen anfor­dern und schließ­lich die Kontrolle über­nehmen, sofern sie dies beabsichtigen.

Von der Sicher­heits­lücke sind einige der größten Tech­no­lo­gie­un­ter­nehmen der Welt betroffen, das Problem ist also global. Die Schwach­stelle könnte zum Beispiel in Servern von Apple, Twitter, Cloud­flare, Valve und Tencent zum Tragen kommen.

Angeb­lich wird auch das beliebte Spiel Mine­craft maßgeb­lich ange­griffen. Am meisten gefährdet für Angriffe sind jedoch Unter­nehmen, die Soft­ware entwi­ckeln oder Inter­net­dienste anbieten.

Wenn Unter­nehmen über Soft­ware verfügen, die auf das Internet zugreife und zusätz­lich mit Java arbeiten, ist die Wahr­schein­lich­keit groß diesen Problem zu haben.

Hier noch einmal der Reminder: Die ecm:one und die Lösungen der ecm:one sind davon glück­li­cher­weise nicht betroffen. Wir können versi­chern, dass alle rele­vanten Kompo­nenten gründ­lich unter­sucht und mehrere Prüfungen durch­ge­führt wurden.

Trotzdem kann die Schwach­stelle natür­lich in anderen genutzten Soft­wares auftreten, es gilt also auch weiterhin Vorsicht zu bewahren.

Was kann dagegen unter­nommen werden?

Da es sich um ein weit verbrei­tetes Problem handelt, das so viele verschie­dene Systeme betrifft, gibt es leider keine sofor­tige Lösung. Trotzdem gilt es die Ruhe zu bewahren.

Als Erstes muss heraus­ge­funden werden, ob auf einem der eigenen Systeme Java läuft. Vorrangig sollten Systeme geprüft werden, auf die vom Internet aus zuge­griffen werden kann.
Nach Möglich­keit sollten Unter­nehmen die Verbin­dung ihrer mit dem Internet verbun­denen Systeme zu unbe­kannten Stand­orten einschränken.
In den nächsten Tagen ist es vor allem wichtig, nach Sicher­heits­up­dates von Soft­ware­an­bie­tern Ausschau zu halten und diese so schnell wie möglich zu imple­men­tieren. Sollten keine Patches verfügbar sein, bietet es sich an nach Möglich­keiten zu suchen Log4j-Funk­tionen solange erstmal zu deaktivieren.

Wir drücken allen die Daumen, die damit zu kämpfen haben. Eins ist schon mal sicher: Dank diesen Vorfall wird die digi­tale Sicher­heit im nächsten Jahr noch mal mehr in den Vorder­grund rücken.