Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Schwachstelle in einem Softwaremodul, das enorm weit verbreitet ist. Mittlerweile wurde die Cyber-Sicherheitswarnung der Behörde sogar auf die höchste Kategorie der vierstufigen Skala für solche Warnungen erhöht. Damit ist es aktuell die einzige Warnung auf dieser Stufe.
Konkret geht es um eine Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j. Diese ist nach Einschätzung des BSI „trivial ausnutzbar“, ein Proof-of-Concept sei sogar öffentlich verfügbar. Wenn Hacker die Schwachstelle erfolgreich ausnutzen, können diese ein betroffenes System sogar komplett übernehmen. Einige solcher Fällen wurden bereits öffentlich gemeldet.
Darüber hinaus betont das BSI in einer Pressemitteilung, dass das Ausmaß der Bedrohungslage derzeit noch nicht komplett überblickt werden kann. Ein Sicherheitsupdate ist zwar bereits verfügbar, es müssen jedoch alle Produkte, die Log4j nutzen, ebenfalls angepasst werden. Eine Java-Bibliothek ist ein Softwaremodul, das zur Umsetzung einer bestimmten Funktion in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software verankert. Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen.
Das BSI empfiehlt Unternehmen und anderen Organisationen, die in der Cyber-Sicherheitswarnung der Behörde dargestellten Abwehrmaßnahmen umzusetzen. Außerdem sollten „die Detektions- und Reaktionsfähigkeiten kurzfristig erhöht werden, um die eigenen Systeme angemessen überwachen zu können“. Sobald Updates für einzelne Produkte verfügbar seien, sollten diese natürlich ebenfalls eingespielt werden. Darüber hinaus sollten alle Systeme auf eine Kompromittierung untersucht werden, die verwundbar waren.