Keine Ahnung, ob das Non-ITler:innen überhaupt mitbekommen: derzeit ist die ganze IT-Welt in Aufregung, und das nicht wegen Corona, sondern wegen einer durchaus dramatischen Sicherheitslücke in einer Java-Bibliothek namens log4j, die dazu dient, in Java-Programmen das Logging (= Protokollierung von Ereignissen zur Nachvollziehbarkeit) umzusetzen.

Warum ist das so kritisch?

Die Verwendung von log4j ist de facto Standard im Java-Umfeld, wird also dementsprechend sehr, sehr weitreichend eingesetzt. Dazu kommt, dass das Ausnutzen der Schwachstelle sehr simpel ist, dazu braucht es nicht viel. Stellen wie das BSI registrieren derzeit massiv viele Scans nach vulnerablen Systemen.

Zudem kann es sein, dass die Schwachstelle bereits vor dem allgemeinen Bekanntwerden ausgenutzt worden ist, Systeme also bereits kompromitiert sind (➡ Zero Day Exploit = keine Zeit zur Behebung vor Bekanntwerden). Zum Beispiel können dadurch Malware/ Ransomware/ Verschlüsselungstrojaner eingeschleust worden sein.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat den Incident in die höchste Bedrohungsstufe „rot“ eingeordnet.

Und so ist nun große Aufregung und Aktivismus angesagt.

Bei uns ebenfalls

Auch bei mir im Unternehmen wird natürlich darauf im großen Stil reagiert. Wir haben jede Menge Anwendungen, die potentiell gefährdet sind und daher gepatcht werden müssen. Unsere Eigenentwicklungen aktualisieren wir natürlich selbst. Bei Fremd-Software muss mit dem Hersteller abgeklärt werden, ob die Software betroffen ist. Falls ja, müssen bereitgestellte Updates eingespielt werden. Bei Systemen, für die noch kein Fix vorliegt, müssen mitigierende Maßnahmen umgesetzt werden. Und das alles so zeitnah wie irgendmöglich.

Bis vor kurzem hieß es, die log4j-Version 2.15 sei sicher, also haben wir diese eingespielt. Nun ist herausgekommen, dass es auch dort noch Lücken gibt, daher muss jetzt auf 2.16 gepatcht werden. So erhält manche Anwendung nun innerhalb von 1,2 Tagen bereits den 2. Emergency-Fix.

Das alles führt zu erheblichen Aufwänden in unserer IT, außerdem können aus Zeitgründen nicht alle Anwendungen außerhalb der Arbeitszeit aktualisiert werden, so daß wir auch stellenweise Unterbrechungen verursachen. Und, last but not least, steht Weihnachten und damit Urlaubszeit vor der Tür. Aber die Problematik wird nicht in den kommenden 4 Tagen erledigt sein. Das bedeutet, wir müssen in machen Bereichen Notfall-Einsatzpläne aufstellen, falls sehr rasch erneut reagiert werden muß.

Was ist mit Otto-Normal-Userin?

Hier ist es wichtig, alle verfügbaren Updates einzuspielen. Sowohl auf PCs als auch Handys, Smart-TVs etc. pp. Was alles betroffen ist, kann ich auch nicht sagen. Für Keepass, iobroker, und auch Fritzboxen habe ich abgeklärt, dass sie nicht betroffen sind.

Mehr Infos

• Bundesamt für Sicherheit in der Informationstechnik (BSI)
• heise.de
• Infosammlung der CISA (sowas wie das BSI der USA) inkl. (seeehr langer) Liste bedrohter Applikationen (Arbeitsstand)