Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft eine Schwachstelle in der Softwarebibliothek Log4j der Programmiersprache Java als gravierende Sicherheitslücke ein. Die Bibliothek wird von vielen Softwarepaketen benutzt, um Systemzugriffe zu protokollieren. Anwender*innen in der Wirtschaft sollten entsprechende Hersteller-Updates installieren, sobald diese bereitstehen.Höchste Warnstufe: IT-Sicherheit gefährdet
Ende vergangener Woche hat das BSI seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft. „Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems“, lautet die eindringliche Warnung von BSI-Präsident Arne Schönbohm. Auch Erpressungsangriffe durch Cyberkriminelle auf Unternehmen sind möglich.
Zwar gibt es inzwischen für die betroffene Java-Bibliothek, die in IT-Systemen eine Wächterfunktion übernimmt, ein Sicherheits-Update. Doch müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Das Spektrum reicht dabei laut einem ZDF-Bericht von Kameraüberwachungssystemen über QR-Code-Scanner bis zu Smart-Home-Anwendungen wie digitalen Türschlössern. Auch die Software, die im Homeoffice den Wlan-Zugang verwaltet, nutzt oft Log4j.
Das BSI empfiehlt Unternehmen, die in seiner Cyber-Sicherheitswarnung skizzierten Abwehrmaßnahmen umzusetzen (Link siehe unten) – eine Aufgabe für IT-Fachleute. Kleinere Betriebe sollten ihre IT-Dienstleister kontaktieren, um herauszufinden, ob eigene Systeme betroffen sind. Sie können sich vor allem auf einem Weg schützen: Sofern die Hersteller Updates zur Verfügung stellen, sollten diese umgehend installiert werden, rät das Amt.
Welche Maßnahmen die betriebliche IT-Sicherheit verbessern, lässt sich mit dem kostenfreien Online-Tool Sec-o-mat herausfinden (Link siehe unten).
Weitere Informationen:
Meldung des BSI zur Java-Schwachstelle Log4j
Cyber-Sicherheitswarnung des BSI zur Java-Schwachstelle Log4j
Zentrale Ansprechstelle Cybercrime der Polizei Hamburg (für Unternehmen)
Online-Werkzeug Sec-o-mat