Warnstufe Rot: Eindringliche Cyber-Sicherheitswarnung des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft eine Sicherheitslücke in der Softwarebibliothek "Log4j" der Programmiersprache Java mit der höchsten Warnstufe Rot ein. Was Unternehmen jetzt tun sollten, um sich zu schützen.

Dieser Artikel gehört zum Themen-Special Cyber-Attacken auf Handwerksbetriebe

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit einer Woche vor einer extrem kritischen Bedrohung in der Java-Bibliothek "Log4j". Das BSI hat dies jetzt als extrem kritische Sicherheitslücke eingestuft und die höchste Warnstufe Rot ausgerufen. Die Sicherheitslücke  hat den Namen "Log4Shell" erhalten und führt möglicherweise zur "Verwundbarkeit von  global mehreren Milliarden Computern", warnt das BSI.

"Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems", warnt BSI-Präsident Arne Schönbohm. "Auch Erpressungsangriffe durch Cyberkriminelle auf Unternehmen sind möglich." Und kurz nach der ersten Warnung nutzen kriminelle Gruppen und Geheimdienste die Sicherheitslücke bereits aus, berichtet das Handelsblatt am 17. Dezember.

Kleinere Unternehmen sollten ihren IT-Dienstleister kontaktieren

Das BSI empfiehlt deshalb Unternehmen und Organisationen dringend, die in seiner Cyber-Sicherheitswarnung skizzierten Abwehrmaßnahmen umzusetzen – eine Aufgabe für IT-Fachleute. Kleinere Betriebe sollten ihre IT-Dienstleister kontaktieren, um herauszufinden, ob eigene Systeme betroffen sind. Sie können sich vor allem auf einem Weg schützen: Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden, rät das Amt.

Die Java-Bibliothek "Log4j" wird von vielen Softwarepaketen benutzt, um Systemzugriffe zu protokollieren. Die größte Gefahr stelle laut BSI die Schwachstelle "Log4Shell" für Betreiber von Servern und Rechenzentren dar.

Auch Privatleute könnten angreifbar sein, zum Beispiel wenn auf den Geräten verwundbare Log4j-Versionen eingesetzt werden. Verbraucherinnen und Verbraucher seien aber weniger stark gefährdet, da die Java-Bibliothek auf Endgeräten weniger stark verbreitet sei. 

Was ist "Log4j"? "Log4j" ist eine weit verbreitete Bibliothek für Java-Anwendungen. Eine Bibliothek ist Software, die zur Umsetzung einer bestimmten Funktionalität in weitere Produkte eingebunden wird. Sie ist daher oftmals tief in der Architektur von Software-Produkten verankert. Die Bibliothek "Log4j" stellt zum Beispiel Funktionalitäten zur Protokollierung von Programmaktivitäten zur Verfügung. Diese Protokolle dienen oft der Fehlersuche und sind deshalb in Software üblich. Da "Log4j" diese Meldungen bislang schnell und effizient verwaltet hat, wurde die Bibliothek von vielen Systemadministratoren und Programmierern auf der ganzen Welt in Systeme eingebaut. Quelle: BSI

DHB jetzt auch digital!Einfach hier klicken und für das digitale DHB registrieren!