Cybersecurity

Warnstufe rot: Log4Shell bedroht unzählige IT-Anwendungen

Das Bundesamts für Sicherheit in der Informationstechnik (BSI) hat seine Cyber-Sicherheitswarnung für Log4Shell auf „Rot“ hochgestuft. Die Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j führt demnach zu einer „extrem kritischen“ Bedrohungslage. „Wir gehen davon aus, dass es in diesem Kontext zu Cyberschäden kommen wird, die uns womöglich erst in einiger Zeit beschäftigen werden“, sagt Kai Fenneken, Bereichsleiter Vermögensschaden-Haftpflicht/Financial Lines bei ERGO.

Bei Twitter sind die Hashtags #Log4Shell und #Log4j seit dem Wochenende in den Trends, IT-Sicherheitsexperten zerbrechen sich den Kopf darüber, wie sie die Schwachstelle sichern und Angriffe abwehren können. Folgende Medienberichte beschreiben die Problematik und den Stand der Dinge umfassend und verständlich:

Spiegel:
Wie löscht man ein brennendes Internet?

IT-Fachleute sind wegen der Log4j-Sicherheitslücke alarmiert, erste Angriffe laufen bereits. Welche Folgen hat das für Nutzer? Wie ließe sich so etwas verhindern? Antworten auf die wichtigsten Fragen liefert der Spiegel in einem ausführlichen Artikel.

https://www.spiegel.de/netzwelt/web/log4j-sicherheitsluecke-wie-loescht-man-ein-brennendes-internet-a-27729847-8e28-4187-b4a2-468a45137fb4

Deutschlandfunk Nova:
Interview mit dem Chaos Computer Club

Im Interview mit dem DLF hält Andreas Bogk vom Chaos Computer Club die Alarmstufe rot für angemessen. Denn die Sicherheitslücke betreffe Server und Computer weltweit.

https://www.ardaudiothek.de/episode/kurz-und-heute/software-bibliothek-log4j-gefaehrliche-sicherheitsluecke/dlf/95758090/

golem.de:
Warum Log4Shell so gefährlich ist und was (nicht) hilft

Für simple Vorkehrungen gegen die Log4J-Lücke sei es wohl schon zu spät, meinen die Autoren von golem.de.

https://www.golem.de/news/log4j-luecke-warum-log4shell-so-gefaehrlich-ist-und-was-nicht-hilft-2112-161757.html

heise online: 
Die Log4j-Lücke – was jetzt zu beachten ist

Wen gefährdet die Lücke besonders? Was können Admins jetzt tun? Worauf sollten Nutzerinnen und Nutzer besonders achten? Was bedeutet die Lücke für die Logging-Bibliothek? Gibt es eine sichere Java-Version? Was ist von den ersten Updates zu halten und wie geht es jetzt weiter? Darüber und über viele weitere Fragen sprqchen Kristina Beer und Martin Holland von heise online live mit dem Securit-Experten Jürgen Schmidt.

Die Log4j-Lücke – was jetzt zu beachten ist | #heiseshow


„Das Ausmaß der konkreten Bedrohungslage ist aktuell nicht abschließend bewertbar, für konkrete Aussagen ist es definitiv zu früh. Unsere Kunden sind grundsätzlich angehalten, Software und Hardware regelmäßig upzudaten und kritische Patches unverzüglich einzuspielen“, ergänt Kai Fenneken, Bereichsleiter Vermögensschaden-Haftpflicht/Financial Lines bei ERGO. Ob dies im aktuellen Fall noch hilft, ist allerdings fragwürdig. 

Drei weitere spannende Artikel zum Thema gibt es in der englischen Version dieses Beitrags: