Anfang Dezember wurde eine Sicherheitslücke in der weit verbreiteten Java-Anwendung Log4j bekannt. Inzwischen stuft das Bundesamt für Sicherheit in der Informationstechnik die Situation als kritisch ein. In der Warnstufe Rot sei der "Ausfall vieler Dienste" zu befürchten, "der Regelbetrieb kann nicht aufrechterhalten werden". Plakativ titelt unter anderem schon der Spiegel und fragt: "Wie löscht man ein brennendes Internet?". Ein Eimer Wasser vorweg: Projekte von alto. sind nicht betroffen. Was genau das Problem ist und warum wir in Sicherheit sind, erklären wir in Kürze.
Log4j ist ein Open-Source-Werkzeug für Java-Bibliotheken. Es protokolliert alles, was innerhalb der Java-Anwendung passiert. Entwickler nutzen es unter anderem dazu, um Prozesse innerhalb der Webanwendungen zu beobachten und Fehler zu finden. Eine erste Version kam vor gut 21 Jahren auf den Markt, mittlerweile ist der Einsatz für diesen "logging" genannten Prozess bei Java-Anwendungen ein fester Standard. Praktisch funktioniert Log4j wie ein Türsteher, der jeden Aufruf und jede Handlung genau beobachtet. Inklusive der Anmeldung.
Genau hier liegt auch das Problem. Denn die nun bekanntgewordene Sicherheitslücke ist eigentlich gar kein Fehler, sondern eine schon lange vorhandene Funktion. So kann Log4j nicht nur protokollieren, sondern auch selbst bestimmte Tasks ausführen. Allerdings ist der angesprochene Türsteher hier etwas zu gehorsam und erledigt den Job schon allein. Bei der aktuellen Log4j-Krise lässt sich bei entsprechenden Anwendungen schon beim Anmeldevorgang Log4j dazu bringen, selbst tätig zu werden. So wird das System außer Betrieb gesetzt oder fremder Code eingeschleust und ausgeführt. Dazu reicht es schon, wenn ein Benutzername beim Login kein Benutzername ist, sondern ein Anwendungsbefehl. Zack, brennt das Internet.
Nutzern gelingt dies ab der Version 2.10 der Anwendung. Einige haben das Sicherheitsproblem publik gemacht. So wusste es die ganze Welt, ehe die Programmierer von Log4j eine Lösung anbieten konnten. Dies nennen wir eine Zero-Day-Lücke. Lösungen gibt es durch zahlreiche Patches zwar mittlerweile, doch der Schaden ist erstmal angerichtet. Das BSI meldet bereits mehrere Angriffe auf Seiten und Systeme. Auch, weil nicht alle sofort das Update eingespielt hatten.
Wir bei alto. sind eine TYPO3-Agentur. Das bedeutet, dass wir auf das professionelle Content-Management-System TYPO3 bei der Umsetzung unserer Projekte setzen. Das heißt in der Folge auch, dass wir kein Java nutzen und auch entsprechende Extensions mit Java nicht einsetzen. Stattdessen setzen wir bewusst auf eigenen Code und individuelle Lösungen. Gleiches gilt für den Einsatz von Shopware als Basis erfolgreicher Onlineshops. Folglich sind unsere Projekte und Kunden nicht von der Log4j-Problematik betroffen. Dennoch haben wir alle Projekte geprüft, und keine Gefahren durch Log4j festgestellt. Darüber hinaus empfehlen wir allen Kunden regelmäßige Sicherheitsupdates - gerne auch im Servicevertrag
Mein Name ist Mark-Oliver Müller und ich helfe Ihnen sehr gern weiter.