Von Heidi Rohde, Frankfurt

Experten sprechen von der „kritisch­sten Schwachstelle“, die seit Jahren entdeckt wurde. Log4j, ein Software-Code zur Erkennung, Bewertung und Dokumentation von Fehlerereignissen auf Computern in der Programmiersprache Java, wird bei unzähligen Unternehmen und zahlreichen anderen Einrichtungen rund um den Globus zum Einfallstor für Cyberkriminelle. Nach Einschätzung des IT-Sicher­heitsspezialisten Mandiant entwickelt sich die Gefährdungslage mit hoher Geschwindigkeit. Die Firma hat festgestellt, dass „chinesische und iranische Regierungsakteure“ die Schwachstelle bereits ausnutzen. Mandiant glaube, „dass diese Akteure schnell handeln, um in begehrten Netzwerken Fuß zu fassen, und dann Folgeaktivitäten unternehmen, die einige Zeit dauern können“, so John Hultquist, Vice President Intelligence Analysis bei Mandiant.

Das große Problem bei einer Log4j- bzw. Log4Shell-Attacke ist dabei aus Sicht von Moritz Anders, Cybersecurity-Experte bei PwC vor allem, „dass die Unternehmen oft nicht wissen, ob sie überhaupt betroffen sein könnten“. Denn bei Log4j handele es sich streng genommen nicht um eine Software, sondern um einen Software-Code, der „im Gegensatz zu einem Programm im System häufig nicht dokumentiert ist, so dass die IT auch nicht weiß, ob er genutzt wird“, skizziert der Manager die Schwierigkeiten im Gespräch mit der Börsen-Zeitung. Dies betreffe vor allem viele mittelständische Unternehmen, die oft keine großen personellen Ressourcen in der IT haben. Wahrscheinlich ist das aber allemal, denn rund 80% aller Web-Anwendungen sind in Java verfasst, und Log4j ist eine Basisanwendung, die weltweit verbreitet ist.

Die Schwachstelle in dem Code gleicht laut Anders einer offenen Tür zu einem IT-System. Der Angreifer braucht keine besondere technische Raffinesse. „Er scannt einfach die Mauern. Die Tür steht offen für alle, die wissen, wo sie ist.“ Der PwC-Experte berichtet bereits von zwei Unternehmen, die gehackt wurden und bei denen es zu den beschriebenen Folgeaktivitäten kam: Sie wurden verschlüsselt und werden nun erpresst.

Log4j ermöglicht den Hackern nicht nur in ein IT-System einzudringen, sondern kann eine äußerst breite Wirkung entfalten, je nachdem welche Anwendung zunächst betroffen ist. Wird beispielsweise der Server für das Identity Management gehackt, eröffnet das den Zugriff auf zahlreiche weitere Systeme. Der Code zählt zu den Open-Source-Anwendungen. Diese genießen prinzipiell eine hohe Sicherheitsreputation, weil durch den stetigen Zugriff vieler Software-Entwickler ein Vielaugenprinzip herrscht, das Schwachstellen eigentlich schnell erkennt. Allerdings hat das System an dieser Stelle selbst eine Schwäche, denn die ehrenamtliche Open Source Community ist nicht in gleicher Weise greifbar wie ein Softwareunternehmen, dessen Produkte genutzt werden. In diesem Fall kann es daher gerade für mittelständische Unternehmen von Vorteil sein, Managed Services zu nutzen.

Log4j ist nach Einschätzung von Anders ein Testfall und Weckruf zugleich. „Unternehmen können anhand dieses Problems beurteilen, wie gut ihre Prozesse in der IT-Sicherheit funktionieren, wie resilient sie in Bezug darauf sind und inwieweit man sie weiter verbessern kann.“ Häufig beobachtet der Manager auch unmittelbare Budgetfolgen bei solchen Gefährdungslagen. Dann werde plötzlich mehr in IT-Sicherheit investiert. Das zeigt auch eine Unternehmensumfrage. Die Firmen reagieren auf die in der Pandemie deutlich gestiegenen Cyberrisiken mit teilweise deutlich erhöhten Ausgaben. Der Prozentsatz derjenigen, die mit einem Budgetanstieg von mehr als 10% rechnen, ist von 5 % im Vorjahr auf 19% angeschwollen.