Empfehlungen des BSI – Zur Bekämpfung der Log4Shell- und anderer Log4j-Schwachstellen

Kritische Sicherheitslücken in der Apache Java-Bibliothek Log4j haben in den letzten Wochen für Unruhe gesorgt. Im Zuge des Bekanntwerdens weiterer Informationen sind nun auch Hilfestellungen für den Umgang mit den Schwachstellen veröffentlicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), das Federal Bureau of Investigation (FBI) und weitere Cybersicherheitsbehörden haben einen detaillierten gemeinsamen Cybersicherheits-Hinweis zur Entschärfung von Log4Shell und anderen Log4j-bezogenen Schwachstellen veröffentlicht. Unternehmen sollten anhand der empfohlenen Schritte dringend überprüfen, ob sie die kritischen Risiken, die mit diesen Schwachstellen verbunden sind, bereits begrenzt haben.

Die Log4j-Softwarebibliothek von Apache ist in viele Anwendungen eingebettet. Über die erkannten Schwachstellen in Log4j können unbefugte Dritte Zugang zu den IT-Systemen erlangen oder die Systeme sogar vollständig kontrollieren. Dadurch sind Unternehmen diverser Branchen von potenziell sehr weitgreifenden Cyberangriffen bedroht, wie beispielsweise Datendiebstahl oder Ransomware-Übergriffen.