Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit Freitag vor einer Sicherheitslücke in der weit verbreiteten Java-Bibliothek Log4j, in den Versionen 2.0 bis 2.14. Java ist eine Programmiersprache. Log4j ist in Java geschrieben und dient der Protokollierung von Software-Aktivitäten, beispielsweise auf Servern von Unternehmen. Über das Logdaten-Modul können Angreifer Schadsoftware verbreiten und so die Server übernehmen und missbrauchen, zum Beispiel zum Ausführen von Software für die Gewinnung von Kryptowährungen (Cryptomining) oder zur Installation von Botnetzen, die den den massenhaften Versand von Spam-Nachrichten ermöglichen, per E-Mail oder Messenger. 

Die Sicherheitslücke wurde bereits ausgenutzt. Es wurden weit über 500 Angriffe gezählt. Das BSI spricht aktuell von „weltweiten Massenscans“, die den Hackern zunächst nur zur Identifizierung von Angriffsmöglichkeiten dienen. Die Tragweite und die Konsequenzen lassen sich aber  zurzeit noch nicht in Gänze abschätzen. „Es wird einige Zeit dauern, das Ausmaß des Problems zu verstehen und es zu beheben“, meinte Thorsten Holz, Professor am Helmholtz-Zentrum für Informationssicherheit (CISPA) in Saarbrücken. Nicht nur deshalb, auch weil es sehr einfach ist, die Sicherheitslücke auszunutzen und weil es zurzeit noch  an umfassenden Sicherheitsupdates fehlt, hat das BSI die höchste Alarmstufe - rot - ausgerufen. Die Lage sei "extrem kritisch", die Reaktionsfähigkeit in Unternehmen sei „kurzfristig geeignet zu erhöhen“, so das BSI.

Betroffen sind laut Medienberichten Großunternehmen wie Apple, Google, Amazon, Tesla und viele mehr. Die Sofwarentwicklerplattform GitHub hat eine Liste betoffener Softwarefirmen veröffentlicht. Aber auch weitere Firmen, die mit Java-Anwendungen und Log4j zur Protokollierung arbeiten, sollten die Lage sehr ernst nehmen und umgehend Sicherheitsmaßnahmen einleiten. So steckt zum Beispiel in digitalen Schließsystemen und in der Automatisierungstechnik die Java-Bibliothek Log4j. Privatanwender stehen zwar nicht in Fokus der Angriffe, können aber betroffen sein, sofern Sie mit Java programmierte Software im Smart Home nutzen.

SiBa rät Unternehmen zur Installation bereitgestellter Sicherheitsupdates, sobald sie verfügbar sind. Zurzeit haben bereits die Unternehmen VMware und Apache Updates für ihre Softwareprodukte bereitgestellt. Weitere Unternehmen haben angekündigt, Sicherheitsupdates zu veröffentlichen. Unternehmen können zukünftig von Ransomware betroffen sein. Dabei handelt es sich umn Erpressersoftware, welche Hacker einsetzen, um bestimmte Dateien oder Systeme zu verschlüsseln, worauf ein Lösegeld zur Entschlüsselung gefordert wird. Um dem vorzubeugen, sollten nun Sicherheitskopien, so genannte Backups, erstellt und in Sicherheit gebracht werden. Diese und weitere Tipp,  wie zum Beispiel den konsequenten Einsatz von Firewalls zur Abwehr von Angriffen oder das Trennen nicht notwendiger Systeme, hat das Magazin Heise.de heute zusammengestellt.