Interview zu Log4Shell in 20 Minuten
Dienstag, 14. Dezember 2021
Die Schwachstelle namens Log4Shell beherrscht seit Tagen die Medien. Durch einen Fehler in Apache Log4j kann eigener Code ausgeführt werden. Schätzungen zur Folge sind bis zu 3 Milliarden Systeme im Internet betroffen. Der Journalist Tobias Bolzern von 20 Minuten hat ein umfangreiches Interview mit Marc Ruef geführt. In diesem geht es um die technischen Hintergründe, welche gesellschaftlichen Auswirkungen solche Angriffe haben werden und mit welchen zukünftigen Entwicklungen zu rechnen ist.
Was genau ist Log4Shell?
Hierbei handelt es sich um eine Schwachstelle in einem sehr bekannten Modul namens Log4j. Dieses wird für die Protokollierung von Daten eingesetzt.
Wie funktioniert diese Schwachstelle?
Ein Protokollierungsmodul sollte Notizen anfertigen. Das klingt simpel. Ist es eigentlich auch. Es wurde jedoch konzeptionell der Fehler gemacht, dass die zu protokollierenden Zeichenketten interpretiert und angereichert werden können. Diese eingeführte Komplexität macht es nun möglich, dass durch geschickte Anfragen eigene Kommandos zur Ausführung gebracht werden können.
Wie gefährlich ist die Lücke?
Verschiedene Quellen gehen davon aus, dass bis zu 3 Milliarden Systeme betroffen sein könnten. Damit gilt diese Schwachstelle als die grösste seit Anbeginn der Internetzeitrechnung. Hinzu kommt, dass die betroffenen Komponenten exponiert sind, sich der Angriff relativ einfach ausnutzen lässt und er durch Massnahmen nur schwer abzuwehren ist.
Wieso sind so viele davon betroffen?
Moderne IT ist leider ein Flickwerk verschiedener Produkte, was zu einem Mehr an Fragilität führt. Das, was wir hier beobachten, ist die neue Normalität. Solange kein Umdenken in der IT stattfindet, werden wir diesen Effekt auch in Zukunft immer mehr sehen. Ein Trend, der unbedingt bekämpft werden muss.
Welche Firmen sind/waren betroffen?
Alle, die Apache Log4j einsetzen. Praktisch jedes mittlere und grössere Unternehmen wird wohl mindestens ein Produkt einsetzen, das sich darauf abstützt.
Sind auch kritische (Infrastruktur-)Systeme gefährdet?
Ja, es waren auch grosse Anbieter wie Apple, Amazon, Google und Tesla betroffen. Dienstleister in den Bereichen Strom, Wasser und Verkehr werden genauso betroffen sein.
Wie hoch ist die Gefahrenlage in der Schweiz?
Dies ist schwierig einzuschätzen. Nachdem Berichte von ersten systematischen Angriffsversuchen bekannt wurden, muss man davon ausgehen, dass Kriminelle Profit aus dem Problem schlagen wollen. Es ist absehbar, dass in den kommenden Tagen erste konkrete Meldungen zu Kompromittierungen, Ransomware-Angriffen und Datenabflüssen die Runde machen werden.
Wie einfach/schwierig ist es für Angreifer, die Lücke zu nutzen?
In seinen Grundzügen handelt es sich hier um einen sehr einfachen Angriff. Wie so oft liegt aber der Teufel im Detail: Um einen reibungslosen Angriff in einer individuellen Zielumgebung durchsetzen zu können, braucht es sehr viel technisches Verständnis. Das lässt sich nicht mal eben schnell erlangen.
Wie unmittelbar ist die Bedrohung für mich, als Leser/Leserin?
In erster Linie betrifft die Schwachstelle Betreiber von IT-Infrastruktur. Endanwender setzen die betroffene Software-Komponente eigentlich nicht ein. Sie können aber dennoch indirekt von erfolgreichen Angriffen betroffen sein, wenn ihre Benutzerdaten zum Beispiel plötzlich zerstört oder verkauft werden. Wir rechnen damit, dass auf der Basis dieser Schwachstelle in den kommenden Wochen ein Mehr an Nutzerdaten im Darknet zum Kauf angeboten werden.
Kann das Problem (die Lücke) schnell behoben werden? Wie?
Grundsätzlich sollte eine aktualisierte Version der betroffenen Komponente eingespielt werden. Dies klingt einfach, ist es aber in der Realität nicht immer: Oftmals weiss man gar nicht, wo diese überall zum Einsatz kommt. Oder es ist nicht klar, ob man diese ohne weiteres aktualisieren kann, ohne dass Abhängigkeiten gefährdet werden.
Mittelfristig muss man diskutieren, ob Log4j nicht schlichtweg sein Ziel verfehlt hat und durch die Komplexität sicherheitstechnisch vorerst seine Daseinsberechtigung verloren hat.
Kommt nun die grosse Welle an Sicherheitsupdates?
Administratoren weltweit sind seit Ende der vergangenen Woche darum bemüht, ihre Infrastruktur im Griff zu halten. Das letzte Wort in dieser Angelegenheit ist noch nicht gesprochen. Hier stehen noch viele Überstunden an.
Wie konnte eine solche Lücke überhaupt entstehen?
Komplexität ist einer der grössten Feinde der Computersicherheit. Dieser Fall hat dies einmal mehr bewiesen.
Links
- https://arstechnica.com/information-technology/2021/12/the-log4shell-zeroday-4-days-on-what-is-it-and-how-bad-is-it-really/
- https://vuldb.com/de/?id.187925
- https://www.20min.ch
- https://www.20min.ch/story/569983801895
Tags
Werden auch Ihre Daten im Darknet gehandelt?
Wir führen gerne für Sie ein Monitoring des Digitalen Untergrunds durch!