Log4Shell: BSI schlägt Alarm - Warnstufe Rot
In der weit verbreiteten Java-Bibliothek „Log4j“ ist eine Schwachstelle entdeckt worden. Das Bundesamt für IT-Sicherheit warnt nun vor einer „extrem kritischen Bedrohungslage“ für Unternehmen und Bürger.
Symbolbild. Cyberangriff (dpa)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer weit verbreiteten „kritischen Schwachstelle“, die zahlreiche Server und Anwendungen verwundbar machen könnte. Ein erfolgreiches Ausnutzen der Sicherheitslücke ermögliche „eine vollständige Übernahme des betroffenen Systems“, erklärte die Behörde am Samstagabend in Bonn und stufte ihre Cyber-Sicherheitswarnung auf die Warnstufe Rot hoch. Es handelt sich demnach um die Attacke „Log4Shell“, die eine Schwachstelle in der Protokollierungsbibliothek „Log4j“ der Programmiersprache Java ausnutzt. Die Lücke hat laut BSI „möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von ‚log4j‘ Teile der Nutzeranfragen protokollieren“. Dies führt nach BSI-Einschätzung zu einer „extrem kritischen Bedrohungslage“. Grund für diese Einschätzung ist demnach, „die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte“. Zudem sei die Schwachstelle „trivial ausnutzbar“, dem Bundesamt seien bereits „welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt“. Ausmaß der Bedrohungslage aktuell „nicht abschließend feststellbar“ Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird, wie das Bundesamt ausführte. Es sei daher „oftmals tief in der Architektur von Software-Produkten verankert“. Das ganze Ausmaß der Bedrohungslage sei aktuell „nicht abschließend feststellbar“, erklärte das BSI. Zwar gibt es demnach für die betroffene Java-Bibliothek ein Sicherheitsupdate, allerdings müssten alle Produkte, die „Log4j“ verwenden, ebenfalls angepasst werden. Welche Produkte verwundbar seien und für welche es bereits Updates gebe, sei derzeit „nicht vollständig überschaubar“. Das BSI riet insbesondere Unternehmen und Organisationen, Updates einzuspielen, sobald diese für einzelne Produkte verfügbar sind. Außerdem sollten „alle Systeme, die verwundbar waren, auf eine Kompromittierung untersucht werden“.

AFP