16.12.21 Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts

Bei Log4Shell handelt es sich um eine Zero-Day-Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das Risiko auf der sogenannten CVSS-Skala mit dem höchstmöglichen Wert 10 ein.

Welt- und deutschlandweit erfolgten derzeit Massen-Scans sowie Kompromittierungsversuche. Berichten zufolge sind bereits bekannte Serviceanbieter wie Amazon und Apple von der Sicherheitslücke betroffen. "Diese Schwachstelle ist nicht nur besonders gefährlich, weil Angreifer die vollständige Kontrolle über das System erlangen können, sondern weil sie sich auch besonders einfach ausnutzen lässt - sogar ein unerfahrener Hacker kann davon profitieren. Wir sehen bereits, dass Cyberkriminelle aktiv nach Software suchen, die sie mit dieser Schwachstelle ausnutzen können", ergänzt Evgeny Lopatin, Sicherheitsexperte bei Kaspersky.

"Im Moment liegt die Priorität darauf, herauszufinden, wie weit das Problem wirklich verbreitet ist", betont Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. "Leider machen nicht nur Sicherheitsteams, sondern auch Hacker Überstunden, um die Antwort zu finden." Die Gefahr: Cyberkriminelle können mit Hilfe der Lücke auch unauffällige Hintertüren für sich einbauen. "Die eigentlichen Angriffe erfolgen sicherlich erst Wochen oder viele Monate später", warnt der Experte.

Amit Yoran, CEO beim IT-Sicherheitsanbieter Tenable spricht sogar von der größten IT-Schwachstelle seit vielen Jahren: "Wenn alle Untersuchungen abgeschlossen sind, könnten wir tatsächlich feststellen, dass es sich um die größte einzelne Schwachstelle in der Geschichte des modernen Computing handelt."

Diese Art von Schwachstelle erinnere daran, dass ausgereifte Cybersicherheitsprogramme entwickelt und umgesetzt werden müssten, um Cyberrisiken besser zu verstehen und zu bewältigen. Alle sollten ihre Sicherheitskontrollen aktualisieren und davon ausgehen, dass sie kompromittiert wurden. Weiterhin sollten bestehende Pläne zur Reaktion auf Vorfälle aktiviert werden, empfiehlt der Security-Experte. "Die oberste Priorität besteht jetzt darin, mit Ihren internen Security- und Engineering-Teams oder mit einer externen Organisation zusammenzuarbeiten, die präzise Sicherheitschecks durchführt, um die Auswirkungen auf Ihre Organisation zu identifizieren."