Unzählige Websites von Gemeinden wurden während der Corona-Pandemie auf Vordermann gebracht, der sonntägliche Gottesdienst auf der eigenen Homepage oder YouTube live übertragen. Nun versetzt eine Sicherheitslücke in einem OpenSource-Programm der Digitalisierungs-Euphorie einen ersten Dämpfer. Am Freitag hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) erstmals vor einer kritischen Bedrohung durch eine Java-Bibliothek berichtet. Die Sicherheitslücke mit dem amtlichen Kürzel „CVE-2021-44228“, auch „Log4Shell“ genannt, betrifft nach Einschätzung des BSI möglicherweise „global mehrere Milliarden Computer“.
Nach Einschätzung des BSI stellt die Schwachstelle „Log4Shell“ die größte Gefahr für Betreiber von Servern und Rechenzentren dar. Die Schwachstelle ermöglicht Hackern, beispielsweise Eingaben auf einem Server vorzunehmen, um dann Schadsoftware auszuführen. Schlimmstenfalls könnten die Cyber-Kriminellen sogar die Kontrolle über das gesamte System übernehmen. Auch im privaten Umfeld kann die Sicherheitslücke für unliebsame Überraschungen sorgen. Etwa, wenn auf einem Rechner, der mit dem Internet verbunden ist, eine Software auf die lückenhafte Log4J-Version aufbaut und diese verwendet. Der Rechner könnte dann ausspioniert werden.
Die Sicherheitslücke ist erstmals in einem Computer-Spiel aufgefallen. In der Java-Version des Spieles „Minecraft“ wurde das Leck in der Java-Bibliothek, einer OpenSource-Software, entdeckt. Weil das Programmiergerüst zum Aufzeichnen (loggen) von Anwendungsmeldungen kostenfrei ist, hat es Eingang in unzählige kommerzielle und nichtkommerzielle Softwareprodukte gefunden. Die sind nun durch das Sicherheitsloch selber angreifbar geworden, sofern eine Verbindung der Rechner mit dem Internet besteht.
Das bedeutet: Auch Kirchengemeinden und christliche Werke müssen vorsichtig sein. PRO hat Experten befragt und sich unter Softwareherstellern umgehört, deren Produkte gerne im christlichen Kontext eingesetzt werden.
IT-Experte Michael Zettl: Software prüfen und auf Updates achten
Michael Zettl, Mitglied im Leitungsteam bei GOTTDIGITAL und Vorstand einer IT-Unternehmensberatung, empfiehlt Privatanwendern und IT-Verantwortlichen in Firmen und Gemeinden, sämtliche Software auf Rechnern kritisch zu prüfen und von den Herstellern der Programme zu erfragen, ob sie die gefährliche Java-Komponente verwenden.
Die Hersteller ihrerseits arbeiten daran, die offengelegte Sicherheitslücke durch Updates der Software möglichst zu schließen. „In nächster Zeit sollte man besonders darauf achten, seine Software aktuell zu halten. Alle Anwender sollten als verstärkt auf Updates der Programme achten“, empfiehlt Zettl. Dies gelte von Softwarepaketen für Webserver über die gängige Bürosoftware bis hin zum Virenscannern. Zettl rechnet damit, dass nun nach Bekanntwerden des Sicherheitslochs sogenannte Bots, das sind automatisierte Computerprogramme, gezielt nach den möglichen Einfallstoren bei Rechnern über das Internet suchen. „Schön wäre, wenn mit der steigenden Begeisterung für den Einsatz von IT in den Gemeinden auch gleich das Bewusstsein für Datensicherheit mit geweckt würde“, sagt Zettl.
ChurchTools
Mit ChurchTools organisieren viele Gemeinden ihre Mitgliederliste, planen ihre Gottesdienste und sonstige Veranstaltungen. Ist die Software von der Sicherheitslücke Log4Shell betroffen? Dazu kommt von der Softwareschmiede ein klares Nein: „Das genannte Softwarepaket wird von ChurchTools nicht verwendet, da es auf einer ganz anderen Programmiersprache basiert. Somit besteht und bestand auch nie ein Sicherheitsrisiko für unsere Kunden oder deren Daten.“
Dennoch nutze das Unternehmen Java-basierte Anwendungen, wodurch ChurchTools interne Sicherheitsvorkehrungen getroffen habe.
„Wir haben nach Bekanntwerden der Sicherheitslücke diese Dienste sicherheitshalber heruntergefahren (das hat keine Auswirkung auf unsere Kunden!) und all unsere Dienste sorgfältig überprüft. Dabei konnten wir keine Ausnutzung dieser Sicherheitslücke feststellen. Zudem sind diese Dienste nicht aus dem Internet erreichbar, sondern stehen nur ChurchTools Mitarbeitern zur Verfügung (Stichwort: VPN).“
Optigem
Gemeinden und Werke nutzen Produkte von Optigem für ihre Spendenverwaltung, Adressliste und Buchhaltung. Zur bekannt gewordenen Sicherheitslücke Log4Shell erklärt das Unternehmen: „Die Produkte der OPTIGEM GmbH sind von der Sicherheitslücke ‚Log4Shell‘ nicht betroffen. Sowohl die desktop- als auch die browserbasierten Produkte können bedenkenlos eingesetzt werden.“ Es bestehe für die Anwender kein Grund zur Sorge. „Auch DokuBit-DMS von unserem Softwarepartner Arcusoft, das einige Kunden zusammen mit unserer Software einsetzen, ist nicht von der Sicherheitslücke betroffen.“
Optigem empfiehlt Gemeinden, „die Informationen des BSI zum Thema genau zu verfolgen und den dortigen Handlungsanweisungen zu folgen“. Im Zweifelsfall rät das Unternehmen, sich Rat und Unterstützung bei entsprechenden Dienstleistern einzuholen.
Fundraisingbox
Mit Software von Fundraisingbox lassen sich Spendenformulare unter anderem auf Gemeindewebsites einrichten. Das Unternehmen hat nach eigenen Angaben nach Bekanntwerden der Sicherheitslücke sofort reagiert. „Dabei wurden unsere verschiedenen eingesetzten Komponenten getestet, ob sie auf entsprechende Angriffsvektoren reagieren. Das war nicht der Fall. Zur Sicherheit wurden einige Services bis zur finalen Bewertung gezielt vom Netz genommen.“
Im Laufe des Wochenendes seien „in enger Abstimmung mit den Herstellern Sicherheitspatches auf allen relevanten Systemen eingespielt und alle Services kontrolliert wieder hochgefahren“ worden. Auswirkungen auf Spenderdaten hatte diese Operation nach Unternehmensangaben nicht: „Alle spenden-verarbeitenden Systeme waren dabei durchgehend erreichbar.“
Von: Norbert Schäfer und Nicolai Franz
