IT-Security Log4Shell: Kommunen müssen sich gegen Angriffe wappnen

Von Sebastian Brabetz*

Zum Jahreswechsel bedrohte die Java-Sicherheitslücke „Log4Shell“ öffentliche und private Einrichtungen weltweit. Solche IT-Schwachstellen können verheerende Schäden verursachen. Besonders öffentliche Stellen müssen zukünftig einen klaren Fokus auf IT-Sicherheit legen, meint Sebastian Brabetz in seinem Gastbeitrag.

Anbieter zum Thema

Die Sicherheitslücke in der Java-Bibliothek Log4j heißt Log4Shell
Die Sicherheitslücke in der Java-Bibliothek Log4j heißt Log4Shell
(© Alexander Limbach-stock.adobe.com)

Die Aufregung war groß und berechtigt: Das BSI (Bundesamt für Sicherheit in der Informationstechnik) setzte im Dezember seine Warnstufe auf Rot – „extrem kritische Bedrohungslage“. Der Grund war die Sicherheitslücke „Log4Shell“, eine Schwachstelle in der IT-Infrastruktur, die für Konzerne und Regierungen auf der ganzen Welt eine nicht zu unterschätzende Bedrohung darstellt. Viele Experten sehen sie als die größte IT-Bedrohung des Jahrzehnts.

Die potenziell verheerenden Folgen von Cyber-Angriffen rücken jedoch nur langsam ins öffentliche Bewusstsein. Besonders in der Öffentlichen Verwaltung gibt es Hürden für die Umsetzung einer nachhaltigen IT-Sicherheitsstrategie. Kommunen sind bei dem Thema meist auf sich allein gestellt, die Strukturen zum Schutz der öffentlichen IT-Infrastruktur sind in Deutschland sehr komplex. Dazu kommt, dass IT-Sicherheit in vielen Kommunen bisher keinen hohen Stellenwert hat. Die öffentliche Ressourcenplanung verlangt oft nach finanziellen und personellen Investitionen in anderen Bereichen.

Kommunen sind den Bürgern verpflichtet

Wenn ein erfolgreicher Cyber-Angriff auf die Öffentliche Verwaltung passiert, hat das Auswirkungen auf unzählige Bürger. Abgesehen vom Raub oder der Veröffentlichung hochsensibler persönlicher Daten können praktisch alle Prozesse und Leistungen zum Stillstand kommen. Auf einmal werden keinerlei Sozialleistungen mehr ausbezahlt. Anträge können nicht mehr gestellt werden. Kfz-Zulassungen werden nicht mehr bearbeitet. Im schlimmsten Fall bricht das gesamte System zusammen.

Diese Gefahren sind nicht hypothetisch, sondern sehr real: Schon vor der berüchtigten Sicherheitslücke Log4Shell wurden im letzten Jahr zum Beispiel der Landkreis Anhalt-Bitterfeld oder die Stadt Schwerin Opfer von Cyber-Attacken. Wegen einer Log4Shell-Attacke musste sogar die Website des Bundesfinanzhofs temporär abgeschaltet werden.

Log4Shell: oft unbemerktes Risiko

Die genannte Schwachstelle befindet sich in der Java-Bibliothek „Log4j“. Dies ist eine öffentlich zugängliche (Open Source) Software und in eine riesige Zahl von Anwendungen verschiedenster Anbieter integriert. Log4j ist ein Logging Framework. Es ermöglicht hochwertige Protokollierung in Java-Programmen, also die Aufzeichnung aller Aktivitäten durch eine Anwendung. Log4j ist prinzipiell eine hochwertige und bequeme Lösung, was auch ihren weit verbreiteten Einsatz erklärt. Die Entwickler müssen einfach weniger programmieren, wenn sie Log4j als Baustein in ihre Projekte integrieren.

Nachdem die Programmiersprache Java äußerst weit verbreitet ist, wird die Bibliothek Log4J auch von unzähligen Java-Programmen eingesetzt. Dadurch sind weltweit so viele IT-Systeme betroffen. Es ist anzunehmen, dass nicht nur ein Großteil aller Web-Anwendungen aufgrund der Schwachstelle angreifbar sind, sondern jede Anwendung, die direkt oder indirekt auf die Logging-Bibliothek zugreift.

Für Cyber-Kriminelle war bzw. ist die Schwachstelle eine riesige Gelegenheit. Das heißt, vielen Angreifern stehen sehr viele Systeme zur Auswahl, die sie attackieren können. So sind weltweit bereits zahllose Angriffe dokumentiert. Das größte Problem ist aber, dass die Gefahr den Administratoren und Administratorinnen oft nicht bekannt ist, da sie Log4j nicht unbedingt bewusst selbst installiert haben. Oft haben sie einfach irgendeine benötigte Software installiert, und in dieser befindet sich mehrere Ebenen tiefer in einem Unterordner die Log4j-Datei. Sie wird von der Software natürlich auch benutzt, aber ohne dass der Administrator sie überhaupt kennt oder weiß, in welcher Weise sie aktiv ist.

Lösegeld für sensible Daten

Angreifer nutzen die unbemerkte Sicherheitslücke aus, um Schad-Code auf dem jeweiligen Host-System auszuführen (Remote Code Execution). So waren z. B. Krypto-Mining oder auch Ransomware-Angriffe die Folge. Letztere bedeuten, dass der Zugriff auf Daten und Systeme eingeschränkt oder ganz verhindert wird. Für die Freigabe der Daten wird von den Kriminellen dann Lösegeld gefordert. Besonders Windows-Systeme sind betroffen.

Was sich Verantwortliche in großen wie kleinen Kommunen nun dringend bewusst machen müssen: Log4Shell ist und war kein Einzelfall: Die Zahl der Cyber-Attacken steigt auch in Deutschland mit jedem Jahr. Gerade die Öffentliche Verwaltung mit ihrer besonderen Verantwortung muss sich hier nachhaltig schützen.

IT-Schwachstellenmanagement

In Deutschland liefern Institutionen wie das BSI wichtige Informationen zum Schutz vor IT-Bedrohungen, aber am Ende sind die einzelnen Kommunen selbst dafür verantwortlich, sich adäquat zu schützen. Sie sollten sich also unbedingt um professionelle Unterstützung und Sicherheitskonzepte für ihre digitale Infrastruktur kümmern. Dazu gehört ein nachhaltiges Schwachstellenmanagement-System. Für die Planung und Umsetzung eines solchen Systems ist es nie zu früh oder zu spät. Die nächste Sicherheitslücke und damit verbundene Cyber-Attacken werden auch im Jahr 2022 auftauchen und nur noch häufiger. Verantwortliche in den Kommunen sollten also lieber schon vorher in Ruhe die benötigten Werkzeuge und Schutzmechanismen einrichten.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Zentral ist hier ein Schwachstellen-Scan: Das heißt, Tools wie zum Beispiel der „Tenable Nessus Scanner“ untersuchen das gesamte IT-System einer Kommune oder Einrichtung. Dabei machen sie unmittelbare Gefahren nicht nur transparent, sondern erlauben auch ihre Abwehr. Natürlich muss auch überprüft werden, ob die Sicherheitslücke nicht schon in der Vergangenheit ausgenutzt wurde. Angreifer können nämlich Schadsoftware einschleusen, die zum Beispiel erst Monate später aktiv wird.

Das Programm für den Schwachstellen-Scan, das von einem lokalen oder auch einem entfernten Computer genutzt werden kann, lädt beim Start Plug-ins. Mit diesen findet es potenzielle Sicherheitslücken im untersuchten Netzwerk und erstellt einen detaillierten Report mit Informationen über alle Schwachstellen. Die Verantwortlichen können umgehend reagieren und mit den richtigen Patches die Gefahr beheben, bevor Cyber-Kriminelle ihre Chance nutzen.

IT-Sicherheit: ein langfristiges Projekt

Professionelle IT-Security-Experten können hier die Öffentliche Verwaltung unterstützen und den gesamten Prozess mit ihrem Know-how begleiten: Beginnend bei der Lizenzierung der benötigten Scanner, über ausführliche Produktberatung bis hin zur Implementierung der gesamten Sicherheitsmaßnahmen und Schulungen für Mitarbeiter. Werden neue Sicherheitslücken schnell erkannt, können die Kommunen sie mit professioneller Hilfe zeitnah patchen und ihren Bürgern reibungslose Dienste und die sichere Verarbeitung und Speicherung von Daten gewährleisten.

Sebastian Brabetz
Sebastian Brabetz
(© mod)

Aber nicht nur punktuell, sondern auch in den Monaten und Jahren nach dem Bekanntwerden einer globalen IT-Bedrohung wie Log4Shell muss die IT-Infrastruktur konstant beobachtet und aktuell gehalten werden. Zusätzlich müssen alle Endnutzer eines IT-Systems regelmäßig für Gefahren sensibilisiert werden. IT Security ist kein einmaliges Projekt, das man zu einem gegebenen Zeitpunkt abschließt. Ein IT-Sicherheitskonzept muss fester Bestandteil aller Projekte und Planungen in der Öffentlichen Verwaltung sein – heute und morgen.

* Sebastian Brabetz ist in der Geschäftsleitung von mod IT Services für Professional Security Solutions verantwortlich.

(ID:47970638)