Nein, der Titel „Internet in Flammen?“ ist nicht übertrieben. Für die meisten Internet-Nutzer unsichtbar spielte sich in den vergangenen Tagen ein regelrechter Wettlauf zwischen IT-Experten und Online-Kriminellen ab. Das potenzielle Einfallstor: Ein kleines Stück Software namens Log4j enthält eine schwerwiegende und – das ist das eigentlich Erschreckende! – trivial auszunutzende Sicherheitslücke, die es ermöglicht, Kommandos auf fremden Servern auszuführen.
Gleich vorweg: AMTANGEE ist von der Schwachstelle nicht betroffen, da unsere vollständig auf dem .NET-Framework basiert, nicht auf Java. Dies gilt auch für AMTANGEE Fax sowie die E-Mail-Archivierung auf Basis von docuvita, die zur Applikationsprotokollierung die ursprünglich von Log4j abstammende Bibliothek log4net in der Version 2.0.8 nutzt. Die erwähnten Sicherheitslücken sind in dieser Bibliothek nicht enthalten.
Besonders gefährlich an der Sicherheitslücke: Log4j ist vielerorts zu finden! Neben großen Playern wie Apple, Google oder Amazon nutzen auch zahlreiche Bundesbehörden die Bibliothek, ja, sie ist seit über 20 Jahren in der Java-Welt der De-facto-Standard, um Software-Ereignisse zu protokollieren. Der hohe Verbreitungsgrad dieser Open-Source-Bibliothek wird nun zum Verhängnis, da die Schwachstelle an zahllosen Stellen im Internet erlaubt, über eine bestimmte Zeichenfolge die Kontrolle über einen Server zu übernehmen. Im Extremfall genügt es sogar, die Zeichenkette in ein Chatfenster des beliebten Spiels „Minecraft“ einzugeben, um den jeweiligen Server zu übernehmen. Die Anwendung ist derart einfach, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Warnstufe Rot ausgerufen hat. Das bedeutet: „extrem kritische IT-Sicherheitslage“!
IT-Abteilungen müssen nun schnell reagieren
Die Auswirkungen erfolgreicher Server-Kompromittierungen könnten sehr viele Menschen zu spüren bekommen. Sei es, weil eine Behörde bestimmte Online-Services vorübergehend abschaltet oder weil jemand einen Unternehmensserver kapert und dort gespeicherte Daten abgreift, von dort aus Schadsoftware verteilt oder sich noch tiefer in das Netzwerk der betroffenen Einrichtung vorarbeitet, um dieses irgendwann mit einer Ransomware lahmzulegen. Das BSI empfiehlt u.a. dringend eine Bestandsaufnahme, welche Systeme Log4j nutzen. Ferner sollten nicht zwingend benötigte verwundbare Systeme dringend ein Update auf die aktuelle Version 2.15.0 erfahren. Wo dies nicht möglich ist, sollten zumindest die Einstellungen entsprechend angepasst werden. Und für den Fall der Fälle empfohlen wird ebenfalls „die Protokollierung aller eingehenden und ausgehenden Verbindungen, um im Nachgang eine Kompromittierung leichter feststellen zu können“.
Bisher weiß das BSI von Berichten „über weltweite Massenscans und versuchte Kompromittierungen“. Es gibt auch bereits erste Meldungen über erfolgreiche Kompromittierungen. Angreifer durchsuchen das Internet automatisiert und großflächig nach Servern und Applikationen, die Log4j benutzen und somit verwundbar sind. Aber es geht noch schlimmer, denn die Täter schlagen meist nicht direkt zu, sondern nutzen die Sicherheitslücke nur zur Vorbereitung eines späteren Angriffs. Sie könnten versuchen, sich auf einem Server unbemerkt einzunisten, sich von dort vorzuarbeiten und die Kontrolle über größere Teile eines Netzwerks zu übernehmen. Weil professionelle Hacker ihre Ziele aus einer solchen Position heraus mitunter monatelang beobachten, wird der tatsächliche Schaden durch Log4j auch erst viel später mess- und erkennbar sein. Am gestrigen Tag untermauerte BSI-Präsident Arne Schönbohm daher abermals die Dringlichkeit zum Handeln. Bitte prüfen Sie Ihre Systeme eindringlich!