Log4j-Sicherheitslücke: Was Meister-Benutzer wissen müssen

Read this post in:

Am 9. Dezember 2021 wurde erstmals eine schwerwiegende Sicherheitslücke in der Logging-Bibliothek Log4j bekannt. Wenn IT-Sicherheitsthemen in den Mainstream-Nachrichten auftauchen, dann ist die Lage ernst. Obwohl das Problem der Log4j-Sicherheitslücke zum Zeitpunkt der Erstellung dieses Artikels noch relativ neu ist, gehen wir davon aus, dass das Thema in naher Zukunft äußerst relevant werden wird. Wir geben Ihnen hier wichtige Informationen für Ihre Sicherheit bei der Nutzung von Webanwendungen.

Log4j-Sicherheitslücke: Was Meister-Benutzer wissen müssen

Wichtig: Meister ist nicht (direkt oder indirekt) von der Log4j-Sicherheitslücke betroffen.

Da es bei jedem größeren Sicherheitsproblem zu Unsicherheiten und Spekulationen kommen kann, möchten wir dem entgegenwirken und mit unseren Nutzern so transparent wie möglich kommunizieren. Im Rahmen unserer Verpflichtung zur Transparenz möchten wir unsere eigene Position in Bezug auf die Sicherheitslücke darlegen und unseren Benutzern die Sicherheit ihrer Daten bei der Verwendung der Meister Suite garantieren. 

In diesem Beitrag werden wir die Log4j-Sicherheitslücke, auch bekannt als Log4Shell, durch die Beantwortung der folgenden Fragen untersuchen:

  • Was ist  Log4j?
  • Was ist die Log4j-Sicherheitslücke? 
  • Wird die Sicherheitslücke behoben? 
  • Ist Meister von der Log4j-Sicherheitslücke betroffen? 
  • Muss ich etwas mit meinem Meister-Konto bzw. -Konten tun? 

Was ist Log4j?

Log4j ist eine von der Apache Software Foundation bereitgestellte Logging-Bibliothek, die von fast jeder in Java geschriebenen Anwendung verwendet wird. Von Minecraft bis zum Integrated Genome Browser verlassen sich Millionen von Anwendungen weltweit auf das Framework. Damit werden wichtige Informationen, die in Logfiles gespeichert sind, aufgezeichnet, und die Nutzung ihrer Dienste ermöglicht.

Ein Logfile ist eine Datei, die Ereignisse aufzeichnet, die in einer Software auftreten. Sie kann Nachrichten, Transaktionen oder andere Ereignisse aufzeichnen. Jedes Mal, wenn Sie Ihren Chatverlauf ansehen, den gespeicherten Fortschritt in einem Spiel wiederherstellen oder sogar eine Mindmap bearbeiten, profitieren Sie vom Logfile der Anwendung. Aufgrund der weiten Verbreitung von Log4j kann es jedoch zu erheblichen Unterbrechungen kommen, wenn etwas mit diesem Service passiert. Daher muss die aktuelle Sicherheitslücke äußerst ernst genommen werden.

In der Cyber Security ist eine Sicherheitslücke ein Aspekt einer Software, der von Angreifern für böswillige Zwecke ausgenutzt werden kann. In den meisten Fällen wollen Cyber-Kriminelle aus ihrer „Arbeit“ beim Ausnutzen von Sicherheitslücken Geld machen, weshalb die Auswahl einer sicheren Software wichtig ist. 

Was ist die Log4j-Sicherheitslücke? 

glenn-carstens-peters data security privacy meisterlabs

Das Internet steht in Flammen

Nicht alle Sicherheitsrisiken sind gleich. Die Log4j-Sicherheitslücke (Log4Shell) wurde jedoch mit der höchstmöglichen Wertung des Common Vulnerability Scoring System (CVSS, deutsch: „Allgemeines Bewertungssystem für Schwachstellen“) von 10/10 bewertet. Einige Experten sind der Meinung, dass wir aktuell Zeuge der größten Online-Sicherheitskrise seit einem Jahrzehnt sind.

Im Wesentlichen nutzt die Sicherheitslücke den Hauptzweck von Log4j gegen ihn aus. Da das Dienstprogramm speziell für die Protokollierung von Benutzerdaten konzipiert ist, hinterlassen Angreifer einfach einen schädlichen Code, den Log4j findet und aufzeichnet.

Bei einem Angriff gibt der Angreifer einen bösartigen Code in ein Eingabefeld ein,  beispielsweise in ein Chat- oder Suchfeld (einige der ersten Beispiele wurden im Minecraft-Chat aufgezeichnet). Dies ist der Beginn einer Sequenz, die es dem Angreifer ermöglicht, die „Kontrolle“ über die Webanwendung zu übernehmen und weitere schädliche Aktionen bei anderen Benutzern durchzuführen.

Eine ausführliche Erklärung, wie ein Angriff über die Log4j-Sicherheitslücke abläuft, finden Sie hier.

Wenn Cyber-Angreifer die Möglichkeit haben, aus der Ferne Code auf Diensten auszuführen, die von Millionen von Menschen weltweit genutzt werden, stellt dies natürlich ein großes Problem für die betroffenen Unternehmen dar. Da die Eintrittsbarriere für Angreifer besonders niedrig ist, ist das Risiko eines Angriffs entsprechend hoch.

Wird die Sicherheitslücke behoben? 

Mehr oder weniger. Apache hat am Freitag (9. Dezember) einen „Patch“ für die Sicherheitslücke veröffentlicht. Es gibt aber leider kein einfaches „Es ist jetzt behoben“.

Der Grund dafür ist, dass der Patch für bestimmte Dienste, z. B. solche, die ältere Java-Versionen verwenden, besondere Bedingungen erfordern kann. Aufgrund der Komplexität von Log4j besteht auch die Möglichkeit, dass Patches zu Fehlfunktionen von Webanwendungen führen, was diese wiederum anfälliger macht oder größere Störungen verursacht.

Während der Wartezeit laufen die meisten Anwendungen wie gewohnt weiter, auch wenn sie anfällig für Angriffe sind. Obwohl sicherheitsbewusste Unternehmen (wie Meister) das Problem bereits eingehend untersucht und einen Plan zur Risikominderung ausgearbeitet haben, kann es bei anderen Unternehmen Wochen oder sogar Monate dauern, bis das Problem gelöst ist.

Empfehlung von Wired: Es gibt nicht viel, was normale Benutzer tun können, außer Updates für verschiedene Online-Dienste zu installieren, wann immer sie verfügbar sind; die meiste Arbeit wird auf der Unternehmensseite anfallen, da Unternehmen und Organisationen sich darum bemühen, Korrekturen zu implementieren.

Ist Meister von der Log4j-Sicherheitslücke betroffen? 

Kurz gesagt: nein. Da Meister kein Java für die Entwicklung verwendet, war unsere eigene Software nicht betroffen. Wir verwenden Apache überhaupt nicht, was unsere Gefährdung durch die Sicherheitslücke ebenfalls minimiert. Bei der Untersuchung der von uns genutzten Dienste von Drittanbietern wurden jedoch die folgenden interessanten Punkte festgestellt.

  • ElasticSearch: Wir verwenden ElasticSearch für bestimmte analytische Zwecke. Obwohl eine ältere Version der Software als angreifbar galt, waren die neuesten Versionen aufgrund der zusätzlichen Sicherheitsmechanismen nicht angreifbar. Wir haben ElasticSearch dennoch weiter aktualisiert, um die Angriffsfläche zu minimieren.
  • UniFi: Wir verwenden UniFi-Produkte für unser Büro. Diese wurden jedoch bereits aktualisiert und gelten nicht als gefährdet.

Muss ich etwas mit meinem Meister-Konto bzw. -Konten tun

Nein. Seien Sie versichert, dass wir unsere Systeme rigoros und regelmäßig überprüfen, nicht nur im Hinblick auf die aktuelle Sicherheitslücke, sondern auch auf andere, die in Zukunft auftreten werden. Wir werden Sie so schnell wie möglich informieren, wenn sich die Situation ändert.

Stellen Sie mit der folgenden Hinweis-Liste zur Log4j-Sicherheitslücke fest, ob die von Ihnen verwendeten Dienste betroffen sind und ob Sie bestimmte Maßnahmen ergreifen müssen. 

Folgen Sie @MeisterTask,  @MindMeister oder @MeisterNote auf Twitter, um über die neuesten Entwicklungen auf dem Laufenden zu bleiben.

Sicherheit ist unsere Passion

So sicher ist Meister

Jetzt informieren