Button-Bild: Javapoint

Das deutsche Bundesamt für Informationssicherheit (BSI) hat infolge einer kritischen Schwachstelle namens Log4Shell in der weit verbreiteten Java-Bibliothek Log4j die "Warnstufe Rot" aktiviert. Gemäss den BSI-Angaben handle sich um eine "extrem kritische Bedrohungslage". Die "Warnstufe Rot" ist die höchste Kategorie der vierstufigen BSI-Skala für Cyber-Sicherheitswarnungen und die gegenwärtig einzige Meldung in dieser Stufe.

Grund für diese höchste Einstufung sei die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Laut ersten Berichten sind Dienste von Apple, Twitter und Amazon sowie zahlreiche andere Anwendungen anfällig. Die Schwachstelle sei zudem trivial ausnutzbar, eine vollständige Übernahme des betroffenen Systems sei möglich. Dem BSI seien bereits erfolgreiche Kompromittierungen bekannt.

Nach Einschätzung des BSI sei das ganze Ausmass der Bedrohungslage aktuell nicht abschliessend feststellbar. Zwar gebe es für die betroffene Java-Bibliothek Log4j ein Sicherheitsupdate, allerdings müssten alle Produkte, die Log4j verwenden, ebenfalls angepasst werden.

Bei einer Java-Bibliothek handelt es sich um ein Softwaremodul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software verankert. Dem BSI zufolge ist zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt würden. Unternehmen und Organisationen sollten daher Abwehrmassnahmen schnellstmöglich umsetzen.