Log4j: «Internet-Apokalypse», die niemanden interessiert

Veröffentlicht am 29. Januar 2022 von FE.

Ein historisches Ereignis von bisher unbekanntem Ausmass, das die Spezialisten noch viele Monate lang beschäftigen wird. Eine Woche lang war diese Information Gegenstand einiger Artikel in den grossen Zeitungen. Seitdem herrscht Funkstille.

Ausserhalb der Entwicklerkreise ist Log4j niemandem bekannt. Das geht so weit, dass selbst ein Teil derjenigen, die dieses Stück Computercode verwenden, sich der entdeckten Lücke nicht bewusst sind. Und das ist das Problem: Das Risiko besteht darin, dass man sich nicht betroffen fühlt und keine Updates zur Behebung der Sicherheitslücke vornimmt.

Diese Programmbibliothek ist in PCs, Smartphones, Spielkonsolen und internetfähigen Objekten im Allgemeinen integriert. Sie ist eines der meistgenutzten Programme der Welt mit bis zu einer Milliarde Downloads pro Jahr. Aufgrund ihrer Schwere hat die Log4j-Lücke einen eigenen Namen erhalten. Sie heisst «Log4Shell».

Vor 25 Jahren schrieb Ceki Gülcü, der heute in Vevey lebt und eine eigene Software-Beratungsfirma besitzt, seine Masterarbeit in Kryptografie im IBM-Forschungslabor in Rüschlikon. Nach seinem Studium blieb er in einem IBM-Team angestellt, das sich mit Daten-Sicherheit befasste. Er verwendete die Programmiersprache Java und entwickelte mit zwei weiteren Personen, Michael Steiner und Dr. Asokan, ein Protokollierungsprogramm (auf Englisch ein «Log»).

Dieses schreibt auf, was passiert, wenn man eine Software benutzt. Die Software Log4j Version 1 wurde erstellt. Ceki Gülcü erklärt die Funktionalität von Log4j am Beispiel der Blackbox in einem Flugzeug, welche die Gespräche der Piloten, die Geschwindigkeit, die Höhe und alle technischen Aspekte, die man zur Überwachung und Kontrolle des Fluges programmiert, aufzeichnet.

Die Software von Log4j ist Open-Source. Eine Software also, die der Allgemeinheit kostenlos zur Verfügung gestellt wird. Solche Software hat den Ruf, im Allgemeinen sicher zu sein, gerade wegen ihrer Transparenz. Es wird davon ausgegangen, dass viele Augen dafür sorgen, dass mögliche Probleme erkannt und gelöst werden.

Im Jahr 2000 wurde das Programm offiziell an die Open-Source-Stiftung Apache übergeben. Diese gemeinnützige Stiftung besteht aus freiwilligen Entwicklern und Mitwirkenden. 2006 verliess Ceki Gülcü das Projekt und entwickelte seine eigene Software wie SLF4J oder LogBack, welche heute bekannt und beliebt sind.

Die Apache Foundation startete 2012 eine komplette Überarbeitung unter dem Namen Log4j Version 2. Eine besondere Funktion wurde eingeführt: Log4j 2 analysiert und interpretiert fremde Programme, bevor deren Inhalt weiterverwendet wird.

Und genau hier wurde die Schwachstelle vor über einem Monat entdeckt: Ein Angreifer kann eine speziell gestaltete Datei übermitteln, die von Log4j fälschlicherweise akzeptiert wird. Somit können beliebige Codes aus externen Quellen ausgeführt werden. Eine andere Möglichkeit ist, den angegriffenen Computer einfach einzufrieren und dann ein Lösegeld zu verlangen.

Die Entdeckung der Schwachstelle ist spannend und liest sich wie ein Thriller. Es war Chen Zhaojun, Mitglied des Alibaba Cloud Security-Teams, der die Lücke entdeckte. Er informierte die Apache Foundation und machte die Schwachstelle gemeinsam mit ihnen am 9. Dezember 2021 öffentlich, sodass den Entwicklern genügend Zeit blieb, das Problem zu beheben. Nach einem Leak auf einer chinesischen Blogging-Plattform kurz vor der Veröffentlichung kam es zu Diskussionen über die Details der Schwachstelle. Hacker warteten nicht ab: Die ersten Angriffe wurden bereits in den ersten Tagen nach der Entdeckung beobachtet.

Gibt es eine Vorstellung davon, wie viel Schaden diese Lücke verursacht hat? Es ist bekannt, dass Giganten wie die NASA, Twitter, Oracle und Apple Programme verwenden, in denen die Log4j-Sicherheitslücke vorhanden ist. So könnte beispielsweise iCloud, der Online-Speicherdienst von Apple, über diese Schwachstelle gehackt worden sein. Theoretisch ist auch der kleine Hubschrauber, den die NASA zum Mars geschickt hat, anfällig, da einige der Programme, die für die Kommunikation mit ihm von der Erde aus verwendet werden, auf Log4j basieren. Kleine und mittlere Unternehmen, Behörden und sogar Privatpersonen mit privaten Servern zu Hause sind ebenfalls betroffen, und es wird einige Zeit dauern, bis das Ausmass der Lücke bekannt ist.

Ausserdem ist klar, dass das belgische Verteidigungsministerium das erste bekannte Opfer eines Log4Shell-Angriffs war. Es wurden spektakuläre Vorsichtsmassnahmen ergriffen, wie z. B. in Kanada mit der präventiven Abschaltung von Regierungsservern oder in Deutschland mit dem Riesenunternehmen Bosch, das auch vernetzte Objekte herstellt und zugab, betroffen zu sein, ohne jedoch weitere Details zu nennen.

Und dann gibt es noch die unbekannten Schäden. Denn diese Schwachstelle wurde vielleicht schon lange vorher von Hackern entdeckt und ausgenützt, ohne dass es jemand bemerkt hat. Zur Erinnerung: Die Version 2 wurde 2012 veröffentlicht. Es ist also nicht unmöglich, dass Kriminelle schon früher Schadprogramme in Computersysteme eingeschleust und benützt haben. Für einige Akteure ist es attraktiver, Zugang zu vertraulichen Informationen zu erhalten, als dafür bezahlt zu werden. Es wird befürchtet, dass die erste Welle von Angriffen nur ein erstes Erdbeben war, bevor ein Tsunami aus grösseren Angriffen kommt.

Im letzten Monat wurden verschiedene grosse Unternehmen in der Schweiz gehackt. Die bekanntesten sind das Verlagshaus Slatkine, die DBS Group und die Emil Frey Group. Aber auch andere, kleinere Unternehmen sind von einer bisher unbekannten Flut von Cyberangriffen betroffen. Ob diese Hackerangriffe tatsächlich auf die Log4Shell-Lücke zurückzuführen sind, ist nicht klar.

Es gibt noch ein weiteres Problem: Die überwiegende Mehrheit der Unternehmen hat keine Versicherung gegen Cyberrisiken. Einige, weil sie sich nicht betroffen fühlen, aber das sind immer weniger. Andere, weil sie glauben, technisch geschützt zu sein. Wieder andere denken schlichtweg nicht daran.

Die Log4Shell-Affäre klingt daher wie ein krachendes Alarmsignal. Sie zeigt uns die Zerbrechlichkeit des Internet-Ökosystems, das auf riesigen Strukturen aufgebaut ist. Diese werden immer komplizierter, nicht nur durch die Ausrüstung, sondern auch durch die Dienste und damit die Software. Heute wissen wir ganz klar, dass kein Computersystem zu 100 Prozent sicher ist.

Eine digitale und demokratische Zukunft muss aufgebaut werden

Diese «Computerapokalypse» wirft die Frage auf, welche Bedeutung wir der Digitalisierung beimessen müssen. Als Unternehmen oder Regierung müssen wir einen Notfallplan haben. Technische Massnahmen allein reichen nicht aus. Unternehmen und Regierungen müssten sich darauf vorbereiten, im Falle eines Computerausfalls weiterarbeiten zu können. Darüber hinaus sollte man seine Krisenkommunikation vorbereiten.

Auch Sie, liebe Leserinnen und Leser, können einem Identitätsdiebstahl oder einem Hackerangriff mit anschliessender Erpressung ausgesetzt sein. Jede Person ist für die Sicherheit ihres eigenen Computersystems verantwortlich. Daher sollten Sie Ihre Hausaufgaben machen, sich weiterbilden und sich zumindest oberflächlich informieren.

Stellen Sie sicher, dass Sie die Grundlagen des Datenschutzes zu Hause kennen: Alle sensiblen Daten sollten in einem vom Internet getrennten Bereich aufbewahrt werden. Ändern Sie das Passwort regelmässig, ebenso wie das Passwort für Ihr WLAN. Installieren Sie ein Passwort auf Ihrer Festplatte.

Das Wichtigste ist und bleibt der gesunde Menschenverstand. Tatsache ist, dass weder die Gesellschaft noch die Regierungen heute auf eine beschleunigte Digitalisierung vorbereitet sind. Die Thematik betrifft alle Bereiche. Bevor die Regierung sich auf die elektronische Stimmabgabe und den automatisierten Austausch von medizinischen Daten stürzt, bevor sie eine genaue Zukunftsprojektion erstellt, sollten wir als Gesellschaft gemeinsam darüber diskutieren, welche Zukunft wir wollen. Gemeinsam über Recht, Sicherheit und Datenschutz, Infrastruktur, Open Source, Überwachung, die Souveränität über unsere Daten, Demokratie, Kultur, Urheberrecht diskutieren. Und auch die Zensur muss natürlich in die Diskussionen einbezogen werden. Eine Bürgerbeteiligung ist wünschenswert, ja sogar sehr notwendig.

Der Übergang geht uns alle etwas an: Wir müssen dringend digitale Verantwortung übernehmen.

*****

Dieser Text wurde uns von Bon pour la tête zur Verfügung gestellt, dem führenden alternativen Medium der französischsprachigen Schweiz. Von Journalisten für wache Menschen.

Einen Kommentar hinterlassen

AUTOR

Felix Egloff

DATUM

Januar 29, 2022

SHARE
NEUE VIDEOS/AUDIOS

Ähnliche Beiträge