Das christliche Medienmagazin

Log4Shell-Sicherheitslücke: Ist meine Gemeinde betroffen?

Experten sind sich einig: Die Sicherheitslücke Log4Shell bedroht Milliarden Computer auf der ganzen Welt. Inwiefern sind auch Rechner und Server von Gemeinden und christlichen Werken betroffen? PRO hat sich unter Sicherheitsexperten und Herstellern von Software umgehört, die gerne in Gemeinden eingesetzt wird.
Von PRO
Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email
Nicht jeder Gesprächspartner im Internet ist wirklich ein Mensch. Manchmal steckt nur ein Computerprogramm aus Zahlen und Codes hinter einem Nutzerprofil.

Foto: Markus Spiske

Eine millionenfach in Computer-Programmen verwendete Java-Bibliothek hat sich als Sicherheitslücke entpuppt

Unzählige Websites von Gemeinden wurden während der Corona-Pandemie auf Vordermann gebracht, der sonntägliche Gottesdienst auf der eigenen Homepage oder YouTube live übertragen. Nun versetzt eine Sicherheitslücke in einem OpenSource-Programm der Digitalisierungs-Euphorie einen ersten Dämpfer. Am Freitag hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) erstmals vor einer kritischen Bedrohung durch eine Java-Bibliothek berichtet. Die Sicherheitslücke mit dem amtlichen Kürzel „CVE-2021-44228“, auch „Log4Shell“ genannt, betrifft nach Einschätzung des BSI möglicherweise „global mehrere Milliarden Computer“.

Nach Einschätzung des BSI stellt die Schwachstelle „Log4Shell“ die größte Gefahr für Betreiber von Servern und Rechenzentren dar. Die Schwachstelle ermöglicht Hackern, beispielsweise Eingaben auf einem Server vorzunehmen, um dann Schadsoftware auszuführen. Schlimmstenfalls könnten die Cyber-Kriminellen sogar die Kontrolle über das gesamte System übernehmen. Auch im privaten Umfeld kann die Sicherheitslücke für unliebsame Überraschungen sorgen. Etwa, wenn auf einem Rechner, der mit dem Internet verbunden ist, eine Software auf die lückenhafte Log4J-Version aufbaut und diese verwendet. Der Rechner könnte dann ausspioniert werden.

Die Sicherheitslücke ist erstmals in einem Computer-Spiel aufgefallen. In der Java-Version des Spieles „Minecraft” wurde das Leck in der Java-Bibliothek, einer OpenSource-Software, entdeckt. Weil das Programmiergerüst zum Aufzeichnen (loggen) von Anwendungsmeldungen kostenfrei ist, hat es Eingang in unzählige kommerzielle und nichtkommerzielle Softwareprodukte gefunden. Die sind nun durch das Sicherheitsloch selber angreifbar geworden, sofern eine Verbindung der Rechner mit dem Internet besteht.

Das bedeutet: Auch Kirchengemeinden und christliche Werke müssen vorsichtig sein. PRO hat Experten befragt und sich unter Softwareherstellern umgehört, deren Produkte gerne im christlichen Kontext eingesetzt werden.

IT-Experte Michael Zettl: Software prüfen und auf Updates achten

Michael Zettl ist Mitglied im Leitungsteam bei Gott@Digital und Vorstand einer IT-Unternehmensberatung Foto: pro/Norbert Schäfer
Michael Zettl ist Mitglied im Leitungsteam bei GOTTDIGITAL e.V. und Vorstand einer IT-Unternehmensberatung

Michael Zettl, Mitglied im Leitungsteam bei GOTTDIGITAL und Vorstand einer IT-Unternehmensberatung, empfiehlt Privatanwendern und IT-Verantwortlichen in Firmen und Gemeinden, sämtliche Software auf Rechnern kritisch zu prüfen und von den Herstellern der Programme zu erfragen, ob sie die gefährliche Java-Komponente verwenden.

Die Hersteller ihrerseits arbeiten daran, die offengelegte Sicherheitslücke durch Updates der Software möglichst zu schließen. „In nächster Zeit sollte man besonders darauf achten, seine Software aktuell zu halten. Alle Anwender sollten als verstärkt auf Updates der Programme achten“, empfiehlt Zettl. Dies gelte von Softwarepaketen für Webserver über die gängige Bürosoftware bis hin zum Virenscannern. Zettl rechnet damit, dass nun nach Bekanntwerden des Sicherheitslochs sogenannte Bots, das sind automatisierte Computerprogramme, gezielt nach den möglichen Einfallstoren bei Rechnern über das Internet suchen. „Schön wäre, wenn mit der steigenden Begeisterung für den Einsatz von IT in den Gemeinden auch gleich das Bewusstsein für Datensicherheit mit geweckt würde“, sagt Zettl.

ChurchTools

Mit ChurchTools organisieren viele Gemeinden ihre Mitgliederliste, planen ihre Gottesdienste und sonstige Veranstaltungen. Ist die Software von der Sicherheitslücke Log4Shell betroffen? Dazu kommt von der Softwareschmiede ein klares Nein: „Das genannte Softwarepaket wird von ChurchTools nicht verwendet, da es auf einer ganz anderen Programmiersprache basiert. Somit besteht und bestand auch nie ein Sicherheitsrisiko für unsere Kunden oder deren Daten.“

Dennoch nutze das Unternehmen Java-basierte Anwendungen, wodurch ChurchTools interne Sicherheitsvorkehrungen getroffen habe.

„Wir haben nach Bekanntwerden der Sicherheitslücke diese Dienste sicherheitshalber heruntergefahren (das hat keine Auswirkung auf unsere Kunden!) und all unsere Dienste sorgfältig überprüft. Dabei konnten wir keine Ausnutzung dieser Sicherheitslücke feststellen. Zudem sind diese Dienste nicht aus dem Internet erreichbar, sondern stehen nur ChurchTools Mitarbeitern zur Verfügung (Stichwort: VPN).“

Optigem

Gemeinden und Werke nutzen Produkte von Optigem für ihre Spendenverwaltung, Adressliste und Buchhaltung. Zur bekannt gewordenen Sicherheitslücke Log4Shell erklärt das Unternehmen: „Die Produkte der OPTIGEM GmbH sind von der Sicherheitslücke ‚Log4Shell‘ nicht betroffen. Sowohl die desktop- als auch die browserbasierten Produkte können bedenkenlos eingesetzt werden.“ Es bestehe für die Anwender kein Grund zur Sorge. „Auch DokuBit-DMS von unserem Softwarepartner Arcusoft, das einige Kunden zusammen mit unserer Software einsetzen, ist nicht von der Sicherheitslücke betroffen.“

Optigem empfiehlt Gemeinden, „die Informationen des BSI zum Thema genau zu verfolgen und den dortigen Handlungsanweisungen zu folgen“. Im Zweifelsfall rät das Unternehmen, sich Rat und Unterstützung bei entsprechenden Dienstleistern einzuholen.

Fundraisingbox

Mit Software von Fundraisingbox lassen sich Spendenformulare unter anderem auf Gemeindewebsites einrichten. Das Unternehmen hat nach eigenen Angaben nach Bekanntwerden der Sicherheitslücke sofort reagiert. „Dabei wurden unsere verschiedenen eingesetzten Komponenten getestet, ob sie auf  entsprechende Angriffsvektoren reagieren. Das war nicht der Fall. Zur Sicherheit wurden einige Services bis zur finalen Bewertung gezielt vom Netz genommen.“

Im Laufe des Wochenendes seien „in enger Abstimmung mit den Herstellern Sicherheitspatches auf allen relevanten Systemen eingespielt und alle Services kontrolliert wieder hochgefahren“ worden. Auswirkungen auf Spenderdaten hatte diese Operation nach Unternehmensangaben nicht: „Alle spenden-verarbeitenden Systeme waren dabei durchgehend erreichbar.“

Von: Norbert Schäfer und Nicolai Franz

Schreiben Sie einen Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden.

Offline, Inhalt evtl. nicht aktuell

PRO-App installieren
und nichts mehr verpassen

So geht's:

1.  Auf „Teilen“ tippen
2. „Zum Home-Bildschirm“ wählen