{"id":8511,"date":"2021-12-21T10:58:35","date_gmt":"2021-12-21T09:58:35","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=8511"},"modified":"2026-02-16T09:27:24","modified_gmt":"2026-02-16T08:27:24","slug":"log4j-sicherheitsluecke","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/log4j-sicherheitsluecke\/","title":{"rendered":"Log4j Sicherheitsl\u00fccke: Das m\u00fcssen Sie wissen"},"content":{"rendered":"

Das Jahr endet mit einer fulminanten IT-Krise: Die Log4j Sicherheitsl\u00fccke macht Unternehmen sowie Beh\u00f6rden angreifbar, das BSI gibt eine Cyber-Sicherheitswarnung der Warnstufe Rot heraus. Angriffe laufen bereits; Microsoft warnt<\/a> sogar vor einer noch gr\u00f6\u00dferen Sicherheitsbedrohung als bei SolarWinds. Im heutigen Beitrag kl\u00e4ren wir Sie deshalb \u00fcber die Log4j Sicherheitsl\u00fccke auf, zeigen potenzielle Folgen sowie die aktuelle Bedrohungslage und informieren Sie, ob auch Sie von der L\u00fccke betroffen sind. Au\u00dferdem erl\u00e4utern wir Ihnen hilfreiche Tipps zum eigenen Schutz.<\/p>\n

 <\/p>\n

Was ist die Log4j Sicherheitsl\u00fccke?<\/h2>\n

Bei Log4j handelt es sich um eine weitverbreitete Protokollierungsbibliothek f\u00fcr Java-Anwendungen. Die Protokolldaten von Anwendungen lassen sich mittels Log4j performant aggregieren \u2013 Ereignisse im Serverbetrieb lassen sich also mithilfe von Log4j protokollieren. Am 10. Dezember 2021 wurde die Log4j Sicherheitsl\u00fccke (CVE-2021-44228<\/a>) bekannt, nachdem sie auf den Servern des Online-Games \u201eMinecraft\u201c auffiel.<\/p>\n

Was kann durch die Log4j Sicherheitsl\u00fccke passieren?<\/h3>\n

Betroffen von der Log4j Sicherheitsl\u00fccke sind die sehr weit verbreiteten Versionen 2.0 bis 2.14.1. Angreifende k\u00f6nnen die zum Logging verwendete Log4J-Java-Bibliothek nutzen, um remote Code zu injizieren. Das kann Angreifenden gelingen, wenn sie Log4j nutzen, um von Angreifenden kontrollierte Zeichenketten zu protokollieren. Angreifende, denen es gelingt, Zeichenketten, die aus Text oder Befehlen bestehen k\u00f6nnen, auf von ihnen kontrollierten Servern in der durch Log4j verwalteten Protokolldatei anzugeben, k\u00f6nnen dann Server erfolgreich \u00fcbers Logging kapern (\u201eLog4Shell\u201c).<\/p>\n

Ein Beispiel zum Verdeutlichen: Eine Webshop-Betreiberin nutzt Log4j auf ihrem Apache-Server. Der Befehl, Kontakt zu einem Server \u2013 n\u00e4mlich dem Server des Angreifers \u2013 aufzunehmen, wird durch Log4j protokolliert. In diesem Zuge wird der Shop-Server Java-Code annehmen und ausf\u00fchren \u2013 jedoch hat der Angreifer zun\u00e4chst Malware in den Code integriert. Diese gelangt auf somit auf den Shop-Server, der durch den Angreifer auch komplett \u00fcbernommen werden k\u00f6nnte.<\/p>\n

Es sind nicht nur Online-Systeme, sondern auch Anwendungen gef\u00e4hrdet. Durch die L\u00fccke w\u00e4re es m\u00f6glich, dass Angreifende Ransomware verteilen oder Hintert\u00fcren einbauen, die sie erst zu einem sp\u00e4teren Zeitpunkt ausnutzen. Die Schwachstelle ist leider sehr leicht ausnutzbar; es kursierte sogar ein Proof-of-Concept. Durch Beispiel-Skripte lassen sich Systeme auf Verwundbarkeit untersuchen. Diese Skripte geben jedoch Administratoren keinerlei Sicherheit \u2013 vielmehr k\u00f6nnen Angreifende dadurch nach verwundbaren Systemen scannen.<\/p>\n

Log4j Sicherheitsl\u00fccke: Was wurde bisher unternommen?<\/h3>\n

Die IT-Welt ist derzeit in Alarmbereitschaft \u2013 entsprechend arbeiten IT-Sicherheitsunternehmen und Java-Spezialist:innen daran, die Schwachstelle stopfen zu k\u00f6nnen. Ein Update auf die Version 2.15.0 sch\u00fctzte zwar vor dem Einschleusen von Code, brachte jedoch neue Sicherheitsprobleme mit sich: Eine neue L\u00fccke, die mit dem Folge-Update geschlossen wurde. Deshalb ist ein Update auf Log4j 2.16.0 dringend angeraten! Konkrete Empfehlungen der Entwickelnden gibt heise online in diesem Beitrag<\/a> weiter.<\/p>\n

Mit Version 2.17 ging ein weiteres Update des Log4j-Teams an den Start, denn erneut tat sich eine weitere Sicherheitsl\u00fccke auf (CVE-2021-45105<\/a>), mit der Angreifenden Denial-of-Service-Attacken gelingen k\u00f6nnten. Das Log4j-Team empfiehlt<\/a> zus\u00e4tzlich zum Update weitere Ma\u00dfnahmen, um das Ausnutzen dieser L\u00fccke zu verhindern.<\/p>\n

Wer ist von der Log4j Sicherheitsl\u00fccke betroffen?<\/h3>\n

Betreibenden von Online-Diensten, Unternehmen sowie Beh\u00f6rden wird dringend angeraten, ihre Systeme zu \u00fcberpr\u00fcfen: Welche Systeme sind verwundbar? Gibt es Hinweise auf eine Kompromittierung? Ein Update mindestens auf Log4j 2.15.0 sollte stattfinden, idealerweise jedoch auf Log4j 2.17.0, um auch die anderen Sicherheitsl\u00fccken zu schlie\u00dfen.<\/p>\n

Privatanwendende sollen laut BSI nicht gef\u00e4hrdet sein: \u201eHandys und iPads sind davon bisher nicht betroffen, das muss man ganz klar sagen\u201c, erkl\u00e4rte BSI-Pr\u00e4sident Arne Sch\u00f6nbohm<\/a>. Ganz so einfach ist es leider nicht, denn die wenigsten Privathaushalte verf\u00fcgen ausschlie\u00dflich \u00fcber Handy und iPad. Nach wie vor existieren auch Rechner, Notebooks, der Router f\u00fcr den Internetanschluss, manches NAS-System oder auch IoT-Komponenten in Privathaushalten. In all dieser Technik kann sich ebenfalls Software verbergen, die auf die Log4j-Bibliothek setzt. Deshalb haben auch Privatanwendende ein bisschen was zu tun: Pr\u00fcfen Sie Ihr Heimnetz auf laufende Dienste. Deaktivieren Sie den Internetzugang von allem, was Sie nicht ben\u00f6tigen, und f\u00fchren Sie f\u00fcr alles Updates aus.<\/p>\n

Jedoch k\u00f6nnten unter Umst\u00e4nden auch Dienste angreifbar sein, die nicht direkt mit dem Internet verbunden sind: Wie ZDnet berichtet<\/a>, wurde ein weiterer Angriffsvektor f\u00fcr die urspr\u00fcngliche Log4j Sicherheitsl\u00fccke entdeckt: Log4Shell l\u00e4sst sich wom\u00f6glich auch \u00fcber Websockets angreifen.<\/p>\n

Log4j Sicherheitsl\u00fccke: Wie hoch ist die Bedrohungslage aktuell?<\/h3>\n

Wie schon bei der SolarWinds-L\u00fccke, \u00fcber die wir Anfang des Jahres berichteten<\/a>, kann auch die Log4j Sicherheitsl\u00fccke nachtr\u00e4glich noch gef\u00e4hrlich werden: Durch Hintert\u00fcren oder eingeschleuste Malware wie Ransomware. Schon seit dem 01. Dezember 2021 wurden Angriffe auf die Schwachstelle beobachtet<\/a> \u2013 also neun Tage vor offiziellem Bekanntwerden. Sicherheitsforschende von Check Point erkl\u00e4ren in einem Blogbeitrag<\/a> in einer Grafik den sprunghaften Anstieg der Angriffszahlen. Bleeping Computer berichtet, dass Angreifende bereits Malware auf erfolgreich angegriffene Systeme installieren. Sicherheitsanbieter Tenable spricht von einem \u201eFukushima der IT\u201c<\/a> und erkl\u00e4rt, dass bei Kunden, die 1.000 Systeme in der Sekunde \u00fcberpr\u00fcfen, pro Sekunde ein betroffenes System identifiziert wird.<\/p>\n

Die Ausma\u00dfe der Log4j Sicherheitsl\u00fccke sind also gigantisch und werden noch weit in die Zukunft reichen. Da Angreifende ganze Systeme \u00fcbernehmen k\u00f6nnten, hat sich auch das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) entschieden, eine Cyber-Sicherheitswarnung der Warnstufe Rot<\/a> herauszugeben.<\/p>\n

Die FAZ zitiert<\/a> einen von Bitdefenders Technikchefs, Martin Zugec: \u201eEs ist, als ob in einer Stadt mit hoher Kriminalit\u00e4tsrate pl\u00f6tzlich alle Haust\u00fcren offenstehen. Das l\u00e4dt Diebe geradezu ein.\u201c Und weiter: \u201eWir gehen davon aus, dass es in der Weihnachtszeit zu einer wahren Angriffswelle kommen k\u00f6nnte.\u201c Mit einer stillen, ruhigen Weihnachtszeit ist f\u00fcr Administratoren dieses Jahr also eher nicht zu rechnen.<\/p>\n

 <\/p>\n

Log4j Sicherheitsl\u00fccke: Bleiben Sie wachsam!<\/h2>\n

Wie Sie sehen, sind Sicherheitsspezialisten hochaktiv und bem\u00fcht, L\u00f6sungen zu finden. Es stehen Patches bereit, die Sie unbedingt einspielen sollten. Das Log4j-Team, das BSI und weitere Organisationen halten die Informationen immer aktuell; nutzen Sie dies und informieren Sie sich laufend \u00fcber die Log4j Sicherheitsl\u00fccke. Folgen Sie den Hilfen und Anleitungen des BSI<\/a> und passen Sie Ihre Systeme entsprechend an, falls noch nicht geschehen. Bleiben Sie bitte auch als Privatperson wachsam \u2013 entspannen k\u00f6nnen Sie sich aktuell tats\u00e4chlich nur dann, wenn Sie die Sicherheitspatches eingespielt haben oder tats\u00e4chlich nur \u00fcber Handy und iPad verf\u00fcgen, die zumindest nicht \u00fcber die Log4j Sicherheitsl\u00fccke angreifbar sind.<\/p>\n