Sicherheitslücke Log4j

Laut FAZ sind 3 Milliarden Devices sind von der Log4J Sicherheitslücke betroffen. Really?

Genauer schreibt die FAZ: „Die Cyberkriminellen haben reichlich Ziele. Der verwundbare Baustein kommt in Web-Anwendungen und Apps zum Einsatz, die auf rund 3 Milliarden Computern laufen.“

So entstehen kapitale Falschmeldungen, die ein sowieso schon diffuses Problem noch ein bisschen diffuser werden lassen. Deshalb mal kurz zu den Fakten:

1. Log4J ist eine sehr beliebte Programmbibliothek, die von vielen Java-Programmierern benutzt wird, um Protokollierungsfunktionen in das eigene Programm einzubauen, ohne das Rad dafür neu erfinden zu müssen. Dabei geht es „schlicht“ nur darum, etwas, was gerade im Programm passiert, in eine Datei zu schreiben, damit man es später auswerten kann. So schreiben eben viele Anwendungen akribisch mit, was Benutzer so alles an Anfragen stellen oder in Datenfelder eingeben. Log4j vereinfacht diese Aufgabe, weil der Programmierer sich hier auf fertigen Programmcode abstützt und sich um die lästigen Details nicht kümmern muss. Doch gerade in den lästigen Details klafft bei Log4j die Sicherheitslücke. Da oftmals Daten protokolliert werden, die von außen an ein Programm angeliefert werden, kann ein Angreifer auf diese Weise mitbestimmen, was konkret protokolliert wird. Das ist im einfachsten Fall z.B. der Inhalt einer Benutzereingabe, der mitgeschrieben werden soll. Und wenn der Angreifer es so schafft, bestimmte Texte protokollieren zu lassen, dann kann er die Texte so gestalten, dass der Programmcode in Log4j beliebigen weiteren Javacode aus dem Internet nachlädt und ausführt. Das ist im übrigen kein Fehler sondern genau so gewollt. Es hat nur niemand darüber nachgedacht, welches Sicherheitsproblem sich daraus einmal ergeben kann.

Wichtig aber ist, man kann Log4J in seinem eigenen Javaprogramm verwenden, muss es aber nicht. Es gibt keine Notwendigkeit dafür außer man möchte das Rad nicht neu erfinden.

2. Java ist eine universelle Programmiersprache, die unter der Lizenz von oracle Inc. steht und frei verwendet werden kann. In dieser Sprache lässt sich praktisch alles programmieren, nicht nur Web-Anwendungen und Apps.

3. Oracle behauptet auf seiner Webseite, dass Java auf mehr als 3 Milliarden Devices eingesetzt wird, sprich Javaprogramme darauf laufen.

4. Angreifbar sind nicht die Devices sondern die darauf laufenden Programme, und auch nur, wenn sie Log4j nutzen. Das können also auch 15 auf einem Device sein, wenn es schlecht läuft oder 0 im günstigsten Fall.

In der Konsequenz gibt es also überhaupt keine Korrelation zwischen den 3 Milliarden Devices, auf denen irgendwas mit Java läuft und der Anzahl der angreifbaren Programme. Eine Abschätzung dieser Art ist vollkommen aus der Luft gegriffen und zeigt nur, dass die Autoren den Kern des Problems gar nicht begriffen haben.

Hier ist der Artikel nachzulesen: https://www.faz.net/aktuell/wirtschaft/digitec/sicherheitsluecke-log4j-was-spricht-fuer-und-gegen-freie-software-17684344.html

Andere Artikel

Daten sind das neue Gold

Vertraust Du Deine Wertsachen einfach fremden Leuten an? Heute ist die Nutzung von Diensten oder Software über das Internet nichts ungewöhnliches mehr. Du kannst damit jede Menge Zeit und auch Geld sparen. Du musst weder für die Infrastruktur noch für

Weiterlesen »

Wie wirst Du in 15 Jahren leben?

Unsere Lebensbedingungen ändern sich. Wie wirst Du in 15 Jahren leben? 4 Beispiele für die hybride Welt von Morgen. Mein Leben findet heute schon digital-hybrid statt. Dieser Trend wird sich fortsetzen, beschleunigen, verfestigen. Das rein “analoge” Leben gibt es dann

Weiterlesen »

Motorrad oder Laufrad?

Wer von Euch fährt mit seinem Motorrad als wäre es nur ein Laufrad? Vermutlich keiner! Aber warum tut Ihr das dann bei anderen Dingen? Mit seinem Motorrad zu fahren als ob es nur ein Laufrad wäre, ist ja nur mäßig

Weiterlesen »

Sind Eure MitarbeiterInnen eigentlich informiert?

“Das wissen die doch! Das sind doch keine Geheimnisse!” Der respektvolle Umgang mit den Kolleginnen und Kollegen ist für Dich als UnternehmerIn selbstverständlich. Du bezahlst ein vernünftiges Gehalt und schaffst auch sonst eine angenehme und produktive Arbeitsumgebung. Dazu gehört auch,

Weiterlesen »

Wenn Projekte über Daten stolpern

In dieser Woche habe ich ein Thema mitgebracht, dass alle Projektleiter in mittleren und größeren, insbesondere auch in internationalen Projekten interessieren könnte. Dabei geht es nicht speziell um IT sondern um alle möglichen Projekte, vom Hausbau, über Bahnhöfe, Flughäfen oder

Weiterlesen »

2022 wird ein spannendes Jahr!

🔸2022 wird ein spannendes Jahr. Während ich mich in den letzten Monaten doch sehr auf den Datenschutz konzentriert habe, werde ich im neuen Jahr meinen fachlichen Radius wieder etwas weiter ziehen. 🔸Datenschutz wird weiterhin ein großer fachlicher Schwerpunkt bleiben, genauso

Weiterlesen »

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Immer gut informiert mit unserem Newsletter

Wenn Sie über die neuesten Entwicklungen rund um die rechtskonforme Verarbeitung von Daten informiert werden wollen, möchte ich Ihnen meinen Newsletter gerne ans Herz legen. In Abständen von vier bis sechs Wochen werden Sie von mir auf dem Laufenden gehalten.