Direkt zum Hauptinhalt springen Direkt zum Hauptmenü springen

Presse

Log4Shell: Ausschuss diskutiert über Sicherheitslücke

Digitales/Ausschuss - 13.01.2022 (hib 16/2022)

Berlin: (hib/LBR) Der Digitalausschuss des Bundestages hat sich in seiner dritten Sitzung am Mittwoch mit der aktuellen Bedrohungslage durch die Schwachstelle namens „Log4Shell“ in der weit verbreiteten Java-Protokollierungsbibliothek „Log4j“ befasst.

Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung bestimmter Funktionalitäten in weiteren Produkten verwendet wird. Es ist möglich, dass durch Ausnutzen der Sicherheitslücke etwa die Kontrolle über den entsprechenden Rechner oder Geräte im Netzwerk übernommen werden kann.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte Mitte Dezember 2021 eine Warnung der Warnstufe Rot herausgegeben, die am 12. Januar 2022 auf die Stufe Zwei (Gelb) zurückgestuft wurde. Nach den letzten Updates habe sich die IT-Bedrohungslage entspannt, dies bedeute aber keine Entwarnung, da ein Cyber-Angriff auch noch Wochen und Monate nach einer unentdeckten Erstinfektion erfolgen könne, hieß es von einem BSI-Vertreter. Es bestünden Hinweise, dass die Schwachstelle mit unterschiedlichen Angriffsformen weltweit ausgenutzt wurde.

Bundesbehörden beziehungsweise Regierungsstellen seien im „mittleren einstelligen Bereich“ von der Sicherheitslücke verwundbar gewesen, sagte ein Vertreter des Bundesinnenministeriums. Diese Schwachstellen seien mittlerweile geschlossen. Dem BSI lägen 15 Meldungen von Betreibern kritischer Infrastruktur vor - alle zugehörig zur Stufe Eins.

Zu einem Ausnutzen der Schwachstelle könne das BSI keine Auskunft geben. Man sei darauf angewiesen, dass Unternehmen und Organisationen ihre eingesetzte Software testeten und Schwachstellen an die Hersteller und das BSI meldeten. Auffälligkeiten in den Netzwerken sollten weiter verstärkt beobachtet werden.

Die Ausschussmitglieder interessierten sich vor allem dafür, wie Sicherheitslücken geschlossen werden könnten. Sie fragten nach Erkenntnissen aus dem Ausland und zum Schwachstellen-Management in der Zukunft sowie danach, was getan werden könne, damit diese eher auffallen.