Das für Cybersicherheit zuständige deutsche Bundesamt für Informationssicherheit (BSI) hat gestern aufgrund einer kritischen Schwachstelle namens Log4Shell in der weit verbreiteten Java-Bibliothek Log4j die „Warnstufe Rot“ aktiviert. Es handle sich um eine „extrem kritische Bedrohungslage“, so das BSI.
Dies ist die höchste Kategorie der vierstufigen BSI-Skala für Cybersicherheitswarnungen und die gegenwärtig einzige Meldung in dieser Stufe.
Sehr weit verbreitet
Ursächlich für diese Einstufung sei die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Laut ersten Berichten sind Dienste von Apple, Twitter und Amazon sowie zahlreiche andere Anwendungen anfällig.
Die Schwachstelle sei zudem trivial ausnutzbar, eine vollständige Übernahme des betroffenen Systems sei möglich. Dem BSI seien bereits erfolgreiche Kompromittierungen bekannt.
Ausmaß der Bedrohungslage noch unbekannt
Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheitsupdate, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden.
Eine Java-Bibliothek ist ein Softwaremodul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software verankert.
Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. Es ist laut BSI zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden. Unternehmen und Organisationen sollten Abwehrmaßnahmen schnellstmöglich umsetzen.