Wen aber betrifft nun die Attacke - und wer sollte tätig werden? Zum Handeln aufgefordert sind zunächst Unternehmen und ihre IT-Abteilungen. So befürchtet der Gesamtverband der Deutschen Versicherungswirtschaft (GDV), dass speziell kleine und mittlere Firmen zur Zielscheibe der Hacker-Attacken werden könnten. "Die kommenden Sicherheitsupdates zum Schließen der #Log4j-Lücke schützen nur den, der sie auch installiert - und hier verlieren zu viele Mittelständler wertvolle Zeit", twitterte Jörg Asmussen, Hauptgeschäftsführer des GDV, am Montag Vormittag. Er machte auf eine Umfrage im Auftrag des GDV aufmerksam, wonach viele Firmen ihre Systeme und Programme nicht regelmäßig updaten.
Trittbrettfahrer erwartet
Dennoch warnen mehrere Sicherheitsexperten davor, auch als Privatperson die Gefahren der Sicherheitslücke zu unterschätzen. Betroffen sein könnten zum Beispiel auch Personen, die Cloud-Server nutzen, etwa von einem Hostinganbieter, berichtet Sophos. Etwa, wenn über einen solchen Anbieter „ein Blog, ein Forum oder eine Familienwebsite“ betrieben werde. Dann solle man sich beim Anbieter erkundigen, ob die eigenen Daten und Services betroffen seien.
Eine weitere Gefahr für Privatpersonen sind Trittbrettfahrer: Kriminelle, die die nun entstehende Unsicherheit gezielt ausnutzen. Sie schicken etwa gefälschte Warn-Mails an Privatpersonen, in denen darin aufgefordert wird, einen bestimmten Link anzuklicken, damit man bestimmte Sicherheits-Updates installiere. Und diese führen dann auf Webseiten mit Schadsoftware. Das Heimtückische daran: selbst, wenn diese Nachrichten von scheinbar seriösen Anbietern stammen, müssen sie nicht echt sein, warnt Sophos. Schließlich könnten Systeme erfolgreich gekapert werden. Nutzer sollten solche Nachrichten kritisch prüfen und sich über die offiziellen Kanäle bei den jeweiligen Firmen erkundigen.
Auch das BSI hat inzwischen nachgebessert und Informationen für Privatnutzer bereitgestellt. "Die größte Gefahr stellt die Schwachstelle "Log4Shell" für Betreiber von Servern und Rechenzentren dar. Dennoch können Verbraucherinnen und Verbraucher betroffen sein, zum Beispiel wenn auf privaten Geräten verwundbare Log4j-Versionen eingesetzt werden. Selbst wenn nicht, können Anwenderinnen und Anwender Schaden davontragen, indem ihre Daten gestohlen werden, wichtige Dienste ausfallen oder Ihre Systeme infiziert werden", schreibt die Sicherheitsbehörde auf ihrer Webseite. Der Rat: Updates für Betriebssysteme und Anwendungsprogramme sollten Privatnutzer umgehend installieren.
Ein Maßnahmenpaket gibt das BSI auch Systemadministratoren zur Hand:
- Das Update auf die aktuelle Version 2.15.0 von "Log4j" sollte schnellstmöglich in allen Anwendungen durchgeführt werden.
- Updates aller übrigen Geräte und Dienste sollten eingespielt werden, sobald sie zur Verfügung stehen. Einige Unternehmen/Einrichtungen wie VMware, Apache oder Unifi haben bereits Patches veröffentlicht.
- Nicht zwingend benötigte Systeme sollten abgeschaltet werden.
- Es sollte geprüft werden, mit welchen Rechten die betroffenen Dienste versehen sind. Diese sollten auf das notwendige Minimum reduziert werden.
- Server sollten generell nur solche Verbindungen (insbesondere in das Internet) aufbauen dürfen, die für den Einsatzzweck zwingend notwendig sind.