Kritische Schwachstelle in Java-Bibliothek Log4j

Mit dieser Meldung informieren wir Sie anlassbezogen zu einer kritischen Schwachstelle in der Java-Bibliothek Log4j.

Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage. Das BSI hat daher eine Cyber-Sicherheitswarnung der Warnstufe Rot veröffentlicht. Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Die Schwachstelle ist zudem bereits ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar. Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems. Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet.

Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software-Produkten verankert. Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. Es ist zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden.

Das BSI empfiehlt insbesondere Unternehmen und Organisationen, die in der Cyber-Sicherheitswarnung skizzierten Abwehrmaßnahmen umzusetzen. Darüber hinaus sollten die Detektions- und Reaktionsfähigkeiten kurzfristig erhöht werden, um die eigenen Systeme angemessen überwachen zu können. Sobald Updates für einzelne Produkte verfügbar sind, sollten diese eingespielt werden. Darüber hinaus sollten alle Systeme, die verwundbar waren, auf eine Kompromittierung hin untersucht werden.

Eine BSI-Cyber-Sicherheitswarnung mit Informationen und Maßnahmen zum Umgang mit der Schwachstelle finden Sie hier: https://bsi.bund.de/dok/997080

Die aktuellen Informationen werden stetig auf den Webseiten des BSI aktualisiert: https://bsi.bund.de/dok/log4j

Weiterführende Informationen: https://bsi.bund.de/dok/997278

Herausgeber: Allianz für Cyber-Sicherheit

 


Weitere Datenschutz News

 

Schulen müssen bis zum Sommer Microsoft 365 ersetzen 27.04.2022 Lesen
Kritische Schwachstelle in Java-Bibliothek Log4j 12.12.2021 Lesen
Siri hört ungewollt mit: Apple wird Datenschutzklage nicht los 04.09.2021 Lesen
Whatsapp muss 225 Millionen Euro Strafe zahlen 02.09.2021 Lesen
Amazon bekommt 746 Millionen Euro Datenschutz-Strafe 01.08.2021 Lesen
Warum der IT-Sicherheitsleitfaden des BSI für Politiker für alle gilt 29.06.2021 Lesen
Kritische Schwachstellen in Exchange-Servern 09.03.2021 Lesen
Cyberfibel: Nachschlagewerk für digitale Aufklärung 19.10.2020 Lesen
Microsoft Office 365: Die Gründe für das Nein der Datenschützer 05.10.2020 Lesen
EuGH erklärt Privacy Shield für ungültig 29.07.2020 Lesen
DSGVO: Irische Datenschutzbehörde knöpft sich Twitter und WhatsApp vor 24.05.2020 Lesen
Cyber-Kriminelle nutzen Corona-Krise vermehrt aus 07.04.2020 Lesen
Installation auch in Deutschland mit Microsoft-Kontozwang 21.02.2020 Lesen
Dokumenten-Leak: Avast Antivirus verkauft offenbar Browser-Daten seiner Nutzer 27.01.2020 Lesen
Gespräche von Skype praktisch ohne Datenschutz analysiert 11.01.2020 Lesen


Allianz für Cyber-Sicherheit