So reagieren AWS, SAP, Siemens und Microsoft auf „Log4Shell"

Eine Sicherheitslücke in der Java-Bibliothek Log4j hat am Wochenende die IT-Welt in Aufregung versetzt. Auch Experten schlagen Alarm: zahlreiche Anwendungen und Services könnten betroffen sein.

Zahlreiche Anwendungen und Services könnten betroffen sein: am Wochenende wurde eine Sicherheitslücke in der Java-Bibliothek Log4j entdeckt. (Bild: gemeinfrei / Pixabay

Alarmstufe Rot. Mit dieser Einschätzung bewertet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die aktuelle Situation rund um die Java-Bibliothek Log4j. Übersetzt bedeutet dies laut dem offiziellen BSI-Papier: „Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrecht erhalten werden."

Was ist passiert? Bereits am Samstagabend hat das BSI die Warnstufe Rot ausgerufen. Grund dafür war die Entdeckung einer kritischen Schwachstelle in der Java-Bibliothek Log4j. Dabei handelt es sich um ein Software-Modul, das Open Source ist und etwa zur Protokollierung von Aktivitäten auf Servern genutzt werden kann. Die Schwachstelle ist laut BSI leicht auszunutzen und Log4j sei in vielen Software-Produkten verankert. „Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. Es ist zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden", so das BSI in seiner aktuellen Mitteilung. Die aufgetretene Schwachstelle ermögliche es Eindringlingen, eigenen Programmcode ins Protokoll zu schreiben und auszuführen.

Wie AWS, SAP, Siemens und Microsoft reagieren

Die Lage ist also ernst. Dies zeigt auch die Reaktion der großen Software-Unternehmen. Amazon Web Services hat in seinem Blog eine Liste von AWS-Applikationen und -Services veröffentlicht, die von der Schwachstelle betroffen sind. Das Unternehmen rät dringend, die aktuellste Version der Anwendungen zu installieren. Vom Softwareunternehmen SAP heißt es auf Anfrage: „SAP kümmert sich bereits um das Apache Log4j-Problem und arbeitet mit Nachdruck daran, die Auswirkungen dieser Schwachstelle zu verstehen und zu beheben. Wir ergreifen momentan geeignete Maßnahmen, um unsere Kunden weltweit zu schützen und stellen situationsbedingt regelmäßig Updates bereit."

Ebenfalls betroffen ist Microsoft mit seiner Cloud-Computing-Plattform Azure. Per Blog-Post erklärt auch hier das Unternehmen, dass es die Lage beobachtet und Sicherheitslösungen für seine Anwendungen und Services erarbeitet. Erste Workarounds und Anleitungen sind auf dem Blog verfügbar.

Auf Anfrage teilt auch Siemens mit, dass das Unternehmen die Lage genau beobachtet. „Derzeit gibt es keine Hinweise darauf, dass es Angreifern gelungen ist, Zugriff auf Kundendaten oder Produktionsdienste zu erlangen", so das Unternehmen. Welche Siemens-Anwendungen und Dienste Log4j nutzen und was Anwender tun müssen, um die Sicherheitslücke zu schließen, hat das Unternehmen hier zusammengefasst.

Potenzielle Einfallstore schließen

Auch der Verband Bitkom schätzt die Lage als ernst ein. „Welt- und deutschlandweit erfolgen derzeit Massen-Scans sowie versuchte Kompromittierungen", sagt Bitkom-Präsident Achim Berg in einer Mitteilung des Verbands und stützt sich dabei auf aktuelle Beobachtungen des BSI. „Herstellerseitig muss schnellstmöglich in Erfahrung gebracht werden, wo überall die Java-Bibliothek zum Einsatz kommt und die Sicherheitsupdates entsprechend ausgerollt werden. Anwenderseitig gilt es, betroffene Systeme zu identifizieren, Abwehrmaßnahmen zu ergreifen und dafür den aktuellen Hinweisen des BSI zu folgen. Gleichzeitig gilt es, alle verwundbaren Systeme auf eine Kompromittierung hin zu untersuchen, um auch weitere potenzielle Einfallstore zu schließen.“

Der Präsident des Cybersicherheitsrats Deutschland Hans Wilhelm Dünn fordert als Reaktion auf die Sicherheitslücke eine unabhängige Zertifizierung von sicherheitsrelevanter Software. „Wir dürfen uns nicht blind darauf verlassen, was Softwareanbieter uns in ihre Programme schreiben. Unternehmen und Verbraucher haben nicht die Expertise, um sich vor den Fehlern anderer zu schützen", so Dünn. Sicherheit sei Staatsaufgabe, auch im digitalen Raum.

Das BSI empfiehlt Unternehmen und Organisationen, die eigene Detektions- und Reaktionsfähigkeiten kurzfristig zu erhöhen, um die eigenen Systeme besser überwachen zu können. Sobald Updates für die einzelnen Produkte verfügbar sind, sollten diese installiert werden. Eine Liste mit betroffenen Produkten ist auf der Plattform Github verfügbar.

