Diese Folgen hat die Sicherheitslücke „Log4Shell“

Kurz vor Weihnachten 2021 sorgte eine Mittelung des BSI über die Sicherheitslücke „Log4Shell“ für Aufregung in der Sicherheitsbranche. Java ist eine beliebte Programmiersprache, Public Domain ist ein beliebtes Lizenzmodell. Zusammen bilden sie für viele Entwickler so etwas wie das Dreamteam für Produkte und Dienstleistungen der vernetzten Welt. Denn Java ist eine Sprache, die auf zahllosen Plattformen läuft und Public Domain Software kostet nichts. Kein Wunder, dass der Markt alle Hilfsprogramme, die kostenfrei verfügbar sind, begierig aufnimmt. Vor allem wenn sie nützlich sind.

Der Segen kann aber auch schnell zum Fluch werden, wie sich kurz vor Ende letzten Jahres erneut herausstellte. Ein überaus beliebtes Java-Tool erwies sich als Einfallstor für Malware. Es droht die totale Übernahme der betroffenen Server durch Hacker. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) machte am 11. Dezember 2021 darauf aufmerksam und verhängte gleichzeitig Warnstufe “Rot”. Die Schwachstelle ist zudem trivial ausnutzbar, das heißt, auch Freizeit-Hacker können sie nutzen – ohne große Spezialkenntnisse oder Vorbereitungszeit.

Die Schwachstelle namens „Log4Shell“ in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des BSI zu einer kritischen IT-Sicherheitslage, da sie leicht auszunutzen ist und zudem in vielen Anwendungen steckt. Vor allem im Bereich der Netzwerk-IT, also von Servern und Kommunikationsplattformen, aber auch dem Internet der Dinge (IoT). Die Warnung bedeutet so etwas wie höchste Gefahr, die sofortiges Handeln nötig macht. Doch noch nach Wochen war nicht klar, was genau zu tun sei.

Public Domain bedeutet eben auch, dass niemand für das Produkt verantwortlich ist, es also pflegt und im Notfall weiß, wen man fragen muss. Dass wie in den letzten Jahren so oft, das IT Problem genau während der Advents- und Weihnachtszeit hochkochte, macht die Sache nicht besser. Seit 2013 soll die Sicherheitslücke im Tool vorhanden sein. Wie oft sie seit dieser Zeit ausgenutzt wurde, ist offen. Beim Bekanntwerden galt sie als “Zero Day” Schwachstelle, also als eine der breiten Öffentlichkeit noch unbekannte Sicherheitslücke. Das änderte sich nach der Veröffentlichung binnen Tagen, denn Hacker kennen keine Weihnachtsruhe. Es tauchten schnell Exploits auf, um die Schwachstelle auszunutzen, um so Computer zum Schürfen von Kryptowährungen oder als Bot-Netzwerk zu missbrauchen.

Weit gefährlicher für Unternehmen ist das Einschleusen von Verschlüsselungstrojanern über die Schwachstelle. Denn nach erfolgter Verschlüsselung kann die Firma erpresst werden. Die Schwachstelle, so warnt das BSI, wird aktuell über diverse Angriffsformen weltweit ausgenutzt. Ein generelles Gegenmittel war auch Anfang Januar noch nicht gefunden.

Die Situation ist mehr als unangenehm. Zwar konnten diverse Markenhersteller, etwa von Überwachungskameras sehr schnell Entwarnung geben, ihre Produkte seien nicht betroffen. Doch das heißt wenig. Über Software, die ohne Lizenz weitergegeben wird, gibt es keinen Verbreitungsnachweis. Zudem ist das Tool oft sehr tief in der IT versteckt. Oft in Programmteilen, die von Dritten zugekauft wurden. Die größte Verbreitung hat “Log4Shell” in Netzwerkprodukten. Die betroffene Protokollierungsbibliothek, so das BSI,  dient der performanten Aggregation von Protokolldaten einer Anwendung. Die veröffentlichte Schwachstelle ermöglicht es Angreifenden ab der Version 2.0-beta9 auf dem Zielsystem eigenen Programmcode auszuführen, was zur Kompromittierung des Zielsystems führen kann. Dazu sei es nicht nötig, weitere Malware über das Internet nachzuladen. Die Schwachstelle kann durch die Verwendung einer speziellen Zeichenkette trivial ausgenutzt werden. Auch Systeme, die Log4Shell nicht aktiv nutzen oder selbst installiert haben, können betroffen sein. Es reicht, dass die Bibliothek auf dem System vorhanden ist. Angreifer können dann auf sie zugreifen.

Damit ist die Wahrscheinlichkeit groß, dass indirekt sehr viele Nutzer betroffen sein könnten, etwa im Bereich der Cloud-Speicher oder allgemein des Cloud-Computings. Ob die Privatsphäre und die Daten der Nutzer gefährdet sind, wird noch geklärt. Es steht aber zu befürchten. Weltweit ist ein Scan aller Systeme zu beobachten, die betroffen sein könnten. So suchen Kriminelle nach lohnenden Zielen. Völlig offen ist, ob die Schwachstelle vor dem 9. Dezember 2021 ausgenutzt wurde, zum Beispiel von Geheimdiensten. Erst zu diesem Zeitpunkt berichtete der Blog von Luna Sec, einem kommerziellen IT-Dienstleister, über sie. Die Veröffentlichung löste dann weltweite Aktivitäten aus.

Akut handeln müssen insbesondere Unternehmen, Organisationen und staatliche Stellen auf allen Ebenen, auch solche, die industrielle Steuerungssysteme anbieten. Siemens und Schneider Electric haben ihre Kunden bereits gewarnt, ebenso VMware und Sophos. Für diese stehen auch kurzfristige Schutzmaßnahmen zur Verfügung, die die Schwachstelle zwar nicht schließen, ihre Ausnutzung aber verhindern oder erschweren können, so das BSI. Allerdings um den Preis, dass bestimmte Funktionen dann  nicht mehr zur Verfügung stehen.

Generell sind all die Empfehlungen aber eher unbefriedigend, da sehr allgemein gehalten. Den Netzwerkverkehr der eigenen Server überwacht jeder verantwortungsbewusste Administrator. Die vom BSI empfohlenen Intrusion Detection Systeme und Paketfilter gelten als Standard. Auch Updates wird jeder vernünftige Administrator in so einem Fall sofort aufspielen. Doch diese gab es eben über Wochen nicht. Handhabbar sind sie für den Anwender nur dann, wenn sie vom Hersteller geliefert, überprüft und von einem Administrator selbst aufgespielt werden können. Es ist dem Anwender kaum zuzumuten, und würde ihn wohl auch überfordern, die verwendete Software selbst neu zu schreiben. 

Die Updates von kommerziellen Anbietern dürfen nicht mit einem Patch der eigentlichen Sicherheitslücke verwechselt werden. Solch ein Patch wurde zwar schnell erstellt, war aber zunächst fehlerhaft und musste überarbeitet werden. Für Kunden, die Software nutzen ist es allerdings nicht einfach, solch einen Patch in die Bibliotheken einer fremden Software zu integrieren. Von rechtlichen Fragen wie der von erlöschender Gewährleistung, einmal abgesehen.

Weitere Maßnahmen regt das BSI nicht an. Im Gegensatz zur US-Behörde FTC (Federal Trade Commission) . Die US-Handelsaufsicht hat Hersteller eindringlich an die Pflicht zum Schutz von Verbraucherdaten erinnert, sonst drohen heftige Strafen. Die Behörde beabsichtige, „die gesamte Bandbreite ihrer Zuständigkeit zur Verfolgung von Unternehmen zu nutzen, die in Zukunft keine verantwortungsvollen Schritte zum Schutz von Verbraucherdaten vor Preisgabe als Ergebnis von Log4j oder ähnlichen Sicherheitslücken setzen", so die FTC.

Sicherheitsprobleme wie bei Log4j nicht zu lösen, kann für Firmen, die in den USA tätig sind, sehr teuer werden. Die FTC fordert Updates ein, sonst drohen Klagen. Keine leere Drohung, in der Vergangenheit wurden hohe Strafen in dreistelliger Millionenhöhe verhängt, im Fall von Equifax sogar Haftstrafen. 2017 hatten Hacker eine längst bekannte Sicherheitslücke ausgenutzt und sich in den Besitz von sensiblen Finanzdaten von 148 Millionen Amerikanern gebracht.

Die harsche Reaktion der US-Behörde hat Gründe. Gerade wenn Public Domain Software verwendet wird, ist eine abschließende Sicherheitsüberprüfung äußerst wichtig. Doch bei der Sicherheit vertrauen viele Anbieter dem Gesetz der großen Zahl. Die stammt aus den Anfangsjahren des Internets und besagt, dass, wenn nur der Source-Code eines Programms öffentlich zugänglich ist, sich Fehler wie von selbst beheben. Aus der großen Zahl der Nutzer wird sich nämlich wahrscheinlich jemand die Mühe machen, nach Fehlern zu suchen und diese auch finden.

Doch die Zeit der Freaks ist wohl vorbei. Weltweit wird unter enormen Druck an immer komplexeren Softwaremodulen gearbeitet. Für Muße bleibt da kaum Zeit. Außerdem haben sich die Gewichte verschoben. Lockte in den ersten Jahren Ruhm und Ehre, und die Aussicht auf einen Freiflug erster Klasse, um Vorträge auf Kongressen halten zu können, existiert nun ein lebhafter Schwarzmarkt für Zero-Day Sicherheitslücken. Es werden Honorare im fünf- und sechsstelligen Bereich gezahlt, meist in einer Kryptowährung. Unter diesen Umständen ist nicht sicher, ob jede gefundene Schwachstelle auch wirklich veröffentlicht wird. Denn das bringt zunächst einmal gar nichts ein. Der Verkauf an Kriminelle oder Geheimdienste ist dank des anonymen Internetgeldes zudem diskret.

Es ist bis heute durchaus üblich, und auch nicht verboten, Public Domain Software in eigene Produkte zu integrieren und anschließend ohne umfangreiche Sicherheitstests zu vertreiben. Erst das noch recht neue Cyber-Sicherheitsgesetz, Cybersecurity Act (CSA) der EU schreibt solche Tests vor, wenn der Anbieter ein Sicherheits-Zertifikat wünscht. Dieses ist aber freiwillig. Die Regeln zur Vergabe, auch Schemata genannt, befinden sich noch im nicht ganz unkomplizierten Abstimmungsprozess. Es dürfte etliche Jahre dauern, bis solche Regeln zumindest für die wichtigsten Produktkategorien überhaupt verbindlich vorliegen. 

Unter „Public Domain" versteht man im angelsächsischen Common Law „gemeinfreie" Werke, also solche, die frei von Urheberrechten sind. Entweder, weil diese abgelaufen sind, oder weil die Urheber darauf verzichtet haben. Nach kontinentaleuropäischer Rechtsauffassung ist dies aber nicht möglich. Denn bei den einzelnen Personen, die an der Schöpfung beteiligt waren, verbleibt immer ihr persönliches Urheberrecht. Doch das sind Spitzfindigkeiten. Unter kommerziellen Anbietern wird "Public Domain" akzeptiert. Es fließen keine Lizenzgebühren, aber es besteht auch kein Anspruch auf Support. Von der Nutzung gemeinfreier Güter kann aber auch niemand ausgeschlossen werden. Es gilt die Regel: Nutzen auf eigene Gefahr!

Bernd Schöne, freier Mitarbeiter PROTECTOR