Extrem kritische Bedrohungslage Log4j: Das sollten Sie über die Sicherheitslücke wissen
Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.
News folgen
Alarmstufe Rot: Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer gravierenden Sicherheitslücke. Hier sind die wichtigsten Fragen und Antworten für Nutzer.
Die Lage ist ernst: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Mitteilung vor einer gravierenden Sicherheitslücke in der Software Log4j gewarnt. Log4j ist ein Bestandteil von Java-Anwendungen, die weltweit in Computersystemen eingesetzt werden.
Die größte Gefahr stellt die Schwachstelle für Betreiber von Servern und Rechenzentren dar. Aber auch Verbraucher können betroffen sein.
Was ist Log4j?
Log4j ist eine weit verbreitete Bibliothek für Anwendungen, die mit der Programmiersprache Java erstellt wurden. Damit können Entwickler Fehlerzustände in Softwareprozessen aufzeichnen, um sie besser nachzuvollziehen.
Log4j wurde in den vergangenen zwei Jahrzehnten von Administratoren und Programmierern auf der ganzen Welt in Systemen eingebaut.
Laut der Softwarefirma Kaspersky nutzen Unternehmen wie Amazon, Apple, Tesla und Twitter die Logging-Software Log4j.
Warum ist die Log4j-Schwachstelle so gefährlich?
Die Schwachstelle namens Log4Shell ermöglicht es Hackern, in Rechensysteme von Unternehmen einzudringen. Dadurch können die Kriminellen Schadsoftware ausführen, die Kontrolle über das System übernehmen oder Daten erbeuten.
Welche Systeme sind verwundbar?
Nach Angaben des BSI ist nicht bekannt, in wie vielen Anwendungen Log4j verwendet wird. Derzeit prüfen Cyberexperten und Sicherheitsbehörden weltweit, welche Systeme betroffen und verwundbar sind.
Derzeit gehen Experten davon aus, dass Log4j in der Version 2.0 bis 2.14.1 die Schwachstelle enthält. Neben großen Rechenzentren und Unternehmensservern wird die anfällige Software auch von kleinen und mittelständischen Firmen genutzt.
Sind Privatanwender direkt betroffen?
Die Schwachstelle hat auf Verbraucher bislang keinen direkten Einfluss. Privatanwender müssen sich erst dann Gedanken machen, wenn sie Dienstleistungen von betroffenen Behörden und Unternehmen in Anspruch nehmen. Dann besteht die Gefahr, dass persönliche Daten gestohlen worden sind oder Dienste ausfallen können.
Wie kann man sich davor schützen?
Privatanwender können momentan nichts tun. Sofern es Updates für installierte Programme, das Betriebssystem oder Hardware wie Router oder Modems gibt, sollten diese umgehend installiert werden.
Was tue ich, wenn ich selbst Administrator bin und Log4j nutze?
Systemadministratoren und Entwickler sollten so schnell wie möglich ein Update auf die aktuelle Version 2.15.0 von Log4j in allen Anwendungen durchführen. Auch Geräte und Dienste sollten mit Softwareaktualisierungen versehen werden. Systeme, die nicht dringend benötigt werden, sollten laut BSI abgeschaltet werden.
Außerdem können Systemadministratoren betroffene Dienste und Anwendungen auf vorhandene Rechte prüfen und diese beschränken. So kann den Hackern der Zugriff erschwert werden. Zudem sollten Server nur solche Verbindungen ins Internet aufbauen, die für den Einsatzzweck zwingend notwendig sind, rät das BSI.
Eine vollständige Liste mit Handlungsempfehlungen für Administratoren hat das BSI hier veröffentlicht.
