US-Behörde warnt: Log4Shell wird uns noch Jahre beschäftigen

15. Juli 2022 um 14:31
  • security
  • lücke
  • international
image
Foto: Arthur Mazi / Unsplash

Die Sicherheitslücke in der Java-Library Log4J sei "endemisch", hält ein Bericht fest. Die Schwachstelle könne noch ein Jahrzehnt oder länger in Systemen verbleiben.

Zuletzt warnte die US-Security-Behörde CISA, dass die im Dezember 2021 entdeckte Sicherheitslücke Log4Shell in der Java-Library Log4J Angreifern auch weiterhin als Einfallstor in Netzwerke von Unternehmen und Organisationen dient. Jetzt doppelt ein weiterer Bericht des US Department of Homeland Security (DHS) nach.
Verfasst hat ihn das beim DHS angesiedelte Cyber ​​Safety Review Board (CSRB), welches im Februar ausgehend von der Cybersecurity-Order durch US-Präsident Joe Biden neu gegründet wurde. Das CSRB bezeichnet Log4Shell als "eine der schwerwiegendsten Schwachstellen, die in den letzten Jahren entdeckt wurden". Von der Lücke gehe ein "endemisches Sicherheitsrisiko" aus, Systeme würden bis "mindestens 2032" davon betroffen sein.
Zwar sei auf das Bekanntwerden von Log4Shell "eine der intensivsten Reaktionen der Cybersicherheitsgemeinschaft in der Geschichte" erfolgt. Der öffentliche und private Sektor, die Open-Source-Community und Security-Forscher hätten weltweit zusammengearbeitet. Doch die Verteidiger würden einer besonders herausfordernden Situation gegenüberstehen: Die Schwachstelle betreffe praktisch jede vernetzte Organisation.
Als Beispiel wird eine US-Behörde aufgeführt, die 33'000 Arbeitsstunden damit verbracht habe, Log4J-Lücken im Netzwerk zu finden und zu patchen. Ein solcher massiver Aufwand führe zu einem Arbeitsstau beim Patchen von anderen kritischen Schwachstellen.
Doch trotz des düsteren Zukunftsbilds bezüglich Log4J und den wiederkehrenden Warnungen kommt das CSRB "etwas überrascht" zum Schluss, dass "die Ausnutzung von Log4Shell bisher im Allgemeinen auf einem niedrigeren Niveau stattfand, als viele Experten angesichts der Schwere der Schwachstelle vorhergesagt hatten".
Trotzdem sei es wichtig, die Lücke weiterhin genau im Auge zu behalten. Die Security-Forscher listen dazu in ihrem Bericht (PDF) 19 Empfehlungen für Behörden, Organisationen und Unternehmen zur Verbesserung ihrer Cybersicherheit auf. Dazu gehören unter anderem Investitionen in Open-Source-Softwaresicherheit, bessere Fähigkeiten zur Identifizierung anfälliger Systeme und die Festlegung einer Grundanforderung für Softwaretransparenz.

Loading

Mehr zum Thema

image

Salesforce-Daten über Klue-App abgeflossen

Die Daten von Kundinnen und Kunden des CRM-Anbieters könnten von einer Sicherheitslücke in der Klue-App zur Wettbewerbsbeobachtung gefährdet sein.

publiziert am 23.6.2026
imageAbo

Schweiz modernisiert digitale Polizeidienste

PTI Schweiz schreibt die nächste Generation der nationalen Online-Polizeiplattform Suisse ePolice aus. Die Lösung soll Online-Dienste der Polizeikorps ausbauen und stärker automatisieren.

publiziert am 22.6.2026
image

Finanzplatz Schweiz von KI-Modell Mythos bedroht

Die Schweizerische Bankiervereinigung und das Schweizer Zentrum zur Bekämpfung von Finanzkriminalität sehen in der Mythos-KI eine Bedrohung für den hiesigen Finanzplatz.

publiziert am 19.6.2026
imageAbo

EFK sieht Lücken in der Cyberabwehr des Bundes

Bei der Zusammenarbeit zwischen FS BIS und dem Bacs bestehen noch Lücken – insbesondere bei Vorgaben, Prozessen und der Meldung von Cybervorfällen.

publiziert am 18.6.2026