log4j – was tun als Website- oder Shop-Betreiber?

Das BSI – Bundesamt für Sicherheit in der Informationstechnik – hat die Ampel auf ROT gestellt. Die Bedeutung der Sicherheitslücke „log4j“ gilt damit als sehr hoch. Wir widmen uns der Frage, wie sicher Deine Website oder Dein Shop bei uns ist.

Von Michael
December 15, 2021
Lesedauer: 3 Minuten

Log4J – seit einer Woche ist dieses neue, besonders gemeine Sicherheitsproblem bekannt. Doch was können Website-Betreiber jetzt tun?

Wie Heise Anfang dieser Woche schrieb, handelt es sich dabei um eine sehr reale Gefahr: „Das Ausnutzen der Lücke ist tatsächlich denkbar einfach, die Zahl der anfälligen Systeme unüberschaubar und Sicherheitsfirmen sehen bereits Log4j-Angriffe von über 500 IP-Adressen.“ Weiter heißt es da, dass es sich bei der Mehrzahl der Angriffe um Fingerprinting handelt, also zunächst einmal den Versuch, Systeme zu finden, welche die Sicherheitslücke enthalten. 

In der nächsten, schon laufenden Welle werden nun diverse Hacker versuchen, eine Hintertür in diese Systeme einzubauen, über die sie auch zu einem späteren Zeitpunkt noch eindringen können, wenn die Log4J-Lücke bereits wieder geschlossen ist. 

Die eigentlichen Folgen der Schwachstelle werden wir also vermutlich nach Weihnachten sehen, mehrheitlich erst im Jahr 2022. 

 

WIE BEURTEILEN WIR DIE GEFAHR FÜR KUNDEN VON BRANDPFEIL?

 

Ob sich unsere Kunden Gedanken um das Thema machen müssen, hat uns bewegt und ich habe daher unser Web Development um ein Statement gebeten. Folgendes habe ich erfahren.

TLDR; 

Unser Fokus in der Entwicklung und im Betrieb von Web-Anwendungen liegt auf Systemen / Backends auf Basis von PHP. Diese nutzen keine Java-Komponenten, also auch kein log4j. Daher dürften die Websites und Shops unserer Kunden zu 95% keine Sicherheitslücke aufweisen. ABER: Drittsysteme wie Zahlungsanbieter, Warenwirtschafts- bzw. ERP-Systeme und Hoster könnten von log4j betroffen sein. Wir empfehlen unseren Kunden, die Antennen betreffend dieses Thema auf Empfang zu lassen und kommen bei Bedarf direkt auf sie zu.

 

SHOPSYSTEME UND CMS

Die von uns genutzten Systeme für Online-Shops und Websites (CMS) , also

  • Shopware

  • Shopify

  • TYPO3

  • WordPress

  • Kirby

  • (teilweise noch REDAXO) 

basieren allesamt auf PHP ohne JAVA-Komponenten und sind daher von der Sicherheitslücke nicht direkt betroffen

Nach unserem Wissenstand nutzen wir momentan keine Funktionalitäten, die Probleme bereiten könnten. 

PLUGINS UND EXTENSIONS

Wir können NICHT ausschließen, dass Drittanbieter-Addons (Extensions, Plugins) davon betroffen sein könnten, da wir keinen Einblick in die genutzten Libraries haben und nicht direkt sehen können, ob diese potentiell betroffen sein können (sprich ob diese JAVA nutzen). Die Wahrscheinlichkeit geht aber bei reinen System- oder Theme-Erweiterungen der CMS bzw. Shopsysteme (ohne Kommunikation zu Drittsystemen) gegen null.  

LOKALE SYSTEME UND ANWENDUNGEN

Lokale Entwicklungsumbebungen und folgende Systeme sind nicht / nicht mehr betroffen:

INDIVIDUELLE ANWENDUNGEN

Individuelle Anwendungen entwickeln wir auf Basis von PHP, meist in Kombination mit LARAVEL und weiteren Frameworks für CSS und JS. Die von uns entwickelten Anwendungen nutzen KEIN JAVA und sind daher ebenfalls nicht von der log4j-Lücke betroffen. 

HOSTING

Im Bereich Hosting dürfte bei nahezu allen Hostern Update-Bedarf bestehen, da auch Apache Webserver von dem Problem betroffen sind. Erste Kommunikationsstränge bzgl. des Problems: 

  • Raidboxes

     weist auf Nachfrage darauf hin, dass die eigenen Systeme log4j nicht nutzen sowie darauf, dass Websites, Plugins und Themes sicher sind (kein JAVA, kein log4j, s.o.). Man empfiehlt aber, sich mit  Zahlungsdienstleistern, CDN-Providern, etc. in Verbindung zu setzen, um weitere mögliche Schwachstellen abzuklären

  • Hetzner

    hier haben wir als Antwort auf unsere Anfrage folgende Auskunft erhalten: „

    Unsere Produkte sind nicht direkt betroffen von dieser Schwachstelle. Auf die Software, die kundenseitig installiert wird, haben wir jedoch keinen Einfluss. Daher muss das selbständig geprüft werden.“

  • IONOS

    hat „bereits Sicherheitsmaßnahmen ergriffen“:  https://www.ionos.de/hilfe/kritische-sicherheitsluecke-in-der-java-logging-bibliothek-log4j/

  • MITTWALD

    sieht nur „bei kleinsten Teilen“ der Systemstruktur Gefahrenpotenzial: https://mittwald-status.de/incident/132

  • AWS

    Amazons Hostingdienst hat Gas gegeben und für eine ganze Reihe von Komponenten Patches durchgeführt: https://aws.amazon.com/de/security/security-bulletins/AWS-2021-006/

WAS WIR TUN WERDEN

Im Rahmen unserer Tätigkeiten beobachten wir die weitere Entwicklung bzgl. log4j und werden unsere Kunden auf neue Erkenntnisse hinweisen. Sollte es Neuigkeiten geben, insbesondere beim Bedarf von Updates oder Plugin-Deaktivierung, werden wir auf die betreffenden Kunden zugehen. 

Das eigentlich Hosting von Websites und Shops liegt i.A. nicht in unserer Verantwortung, dafür haben unsere Kunden eigene Verträge mit den betreffenden Hostern.  Wir stehen aber zur Seite.

Das könnte Dich auch interessieren

Learnings, Fazit und Übergabe an die CHRIST IT

Learnings, Fazit und Übergabe an die CHRIST IT

Wo kann man die CHRIST Reparaturannahme sehen? Welche Erkenntnisse haben sich aus der sehr intensiven Zusammenarbeit ergeben? All das und mehr erfahrt ihr im letzten Teil unserer CHRIST Story.

Weiterlesen
Wir wünschen warme Weihnachten

Wir wünschen warme Weihnachten

In diesem Jahr wünschen wir nicht nur frohe, geruhsame und entspannte Festtage.

Weiterlesen
Agile Projekte zur Web-Entwicklung

Agile Projekte zur Web-Entwicklung

Agile Projekte werden gern propagiert, stellen jedoch im Agenturalltag eine Herausforderung dar. Wie wir dieser in unserem CHRIST-Projekt begegneten, verrät Part 3 unserer CHRIST-Story.

Weiterlesen