Log4j: Der größte IT-Sicherheitsvorfall des Jahrzehnts
1 Min. Lesezeit
Die Schwachstelle Log4Shell hat im Dezember 2021 die IT-Welt erschüttert. Mit einem CVSS-Score von 10.0 betrifft sie Millionen von Anwendungen weltweit – und viele sind bis heute ungepatcht.
Das Wichtigste in Kürze
Die Schwachstelle Log4Shell (CVE-2021-44228) in der Java-Bibliothek Log4j hat im Dezember 2021 die IT-Welt erschüttert. Mit einem CVSS-Score von 10.0 betrifft sie Millionen von Anwendungen weltweit. Die Lücke erlaubt Remote Code Execution ohne Authentifizierung — ein Albtraum für jedes Security-Team.
Am 9. Dezember 2021 veröffentlichte die Apache Software Foundation ein Notfall-Update für Log4j, eine der am weitesten verbreiteten Logging-Bibliotheken im Java-Ökosystem. Was folgte, war das größte koordinierte Patching-Ereignis in der Geschichte der IT-Sicherheit.
Warum Log4Shell so gefährlich ist
Log4j steckt in praktisch jeder Java-Anwendung — von Apache Struts über Elasticsearch bis zu Minecraft-Servern. Die Schwachstelle ermöglicht es Angreifern, über eine manipulierte Zeichenkette im Log-Eintrag beliebigen Code auf dem Zielsystem auszuführen. Dafür genügt eine einzige HTTP-Anfrage.
Das BSI stufte die Bedrohungslage auf Rot — die höchste Warnstufe. Innerhalb von 72 Stunden nach Bekanntwerden registrierten Sicherheitsforscher bereits Millionen von Angriffsversuchen. Cryptominer, Ransomware-Gruppen und staatliche Akteure nutzten die Lücke sofort aus.
Die Herausforderung: Software-Inventar
Das eigentliche Problem für viele Unternehmen: Sie wussten nicht, wo überall Log4j eingesetzt wird. Die Bibliothek ist oft als transitive Abhängigkeit eingebunden — tief verschachtelt in Drittanbieter-Software, Appliances und Cloud-Diensten.
Wer kein aktülles Software Bill of Materials (SBOM) pflegte, stand vor einer Herkulesaufgabe. Manche Organisationen brauchten Wochen, um alle betroffenen Systeme zu identifizieren.
Lehren für die Zukunft
Log4Shell hat drei strukturelle Schwächen offengelegt:
- Abhängigkeitsmanagement: Open-Source-Komponenten müssen inventarisiert und überwacht werden
- Patch-Geschwindigkeit: Wer nicht innerhalb von Stunden patchen kann, ist zu langsam
- Defense in Depth: WAF-Regeln, Netzwerksegmentierung und Egress-Filtering hätten viele Angriffe blockiert
Key Facts
CVE-2021-44228 mit CVSS 10.0 — maximal kritisch
Betroffen: Millionen Java-Anwendungen weltweit
Erste Patches innerhalb von 48 Stunden durch Apache
BSI-Warnstufe Rot erstmals für eine Software-Schwachstelle
SBOM-Pflicht wird durch EU Cyber Resilience Act kommen
Fakt: Cyber-Versicherungsprämien stiegen laut Munich Re 2024 um durchschnittlich 15 Prozent.
Fakt: Deutsche Unternehmen investieren laut Bitkom durchschnittlich 14 Prozent ihres IT-Budgets in Cybersicherheit.
Häufige Fragen
Ist Log4Shell 2025 noch relevant?
Ja. Viele Systeme sind bis heute ungepatcht, besonders eingebettete Geräte und Legacy-Software. Angreifer scannen weiterhin aktiv nach verwundbaren Instanzen.
Wie kann ich prüfen, ob meine Systeme betroffen sind?
Tools wie Syft oder Grype erstellen ein SBOM und identifizieren verwundbare Log4j-Versionen. Alternativ helfen spezialisierte Scanner wie Lunasec oder der Log4Shell-Detector von CERT/CC.
Weiterführende Artikel
NIS2-Richtlinie: Was Unternehmen wissen müssen
Zero Trust: Die 7 häufigsten Fehler
Braucht jedes Unternehmen einen CISO?
Nicht jedes Unternehmen braucht einen Vollzeit-CISO, aber jedes braucht eine klare Verantwortlichkeit für IT-Sicherheit auf Geschäftsführungsebene. KMU können auf einen externen CISO (Virtual CISO) zurückgreifen. Mit NIS2 wird die Management-Verantwortung gesetzlich verankert.
Verwandte Artikel
- secIT by Heise 2026: Die Security-Roadshow für Admins und IT-Verantwortliche
- DsiN-Jahreskongress 2026: Digitale Sicherheit in der vernetzten Gesellschaft
- Cybersec Europe 2026: Brüssels Security-Konferenz im Herzen der EU-Regulierung
Mehr aus dem MBF Media Netzwerk
MyBusinessFutureDigitalisierung im Mittelstand: Best PracticesDigital ChiefsIT-Strategien für die digitale TransformationQuelle Titelbild: Pexels / Brett Sayles
