Log4Shell sechs Monate danach: Warum die Schwachstelle weiter gefährlich bleibt

1 Min. Lesezeit

Sechs Monate nach der Entdeckung von Log4Shell (CVE-2021-44228) ist die Schwachstelle noch immer in Millionen Systemen präsent. Angreifer nutzen sie weiterhin aktiv aus. Warum das Patching so schwierig ist und was Unternehmen jetzt tun müssen.

Das Wichtigste in Kürze

• Immer noch aktiv: 6 Monate nach Entdeckung sind geschätzt 30% der Log4j-Instanzen ungepatcht.
• Tiefe Abhängigkeiten: Log4j steckt in tausenden Java-Anwendungen, oft tief in der Dependency-Kette.
• Staatliche Akteure: APT-Gruppen aus China, Iran und Nordkorea nutzen Log4Shell für Spionage.
• CVSS 10.0: Die maximale Schweregrad-Bewertung – Remote Code Execution ohne Authentifizierung.
• SBOM-Debatte: Log4Shell hat die Forderung nach Software Bill of Materials beschleunigt.

Warum Log4Shell ein Dauerproblem ist

Als am 9. Dezember 2021 die Log4Shell-Schwachstelle bekannt wurde, sprachen Experten von der schwerwiegendsten Sicherheitslücke des Jahrzehnts. Log4j, eine Java-Logging-Bibliothek, steckt in Millionen von Anwendungen – von Minecraft-Servern bis zu Enterprise-Software von VMware, Cisco und IBM. Das Problem: Viele Unternehmen wissen gar nicht, wo überall Log4j in ihren Systemen verwendet wird.

Sechs Monate später ist die Lage ernüchternd. Laut Qualys sind noch immer rund 30 Prozent der Log4j-Instanzen ungepatcht. Die Gründe sind vielfältig: Log4j versteckt sich als transitive Abhängigkeit in komplexen Software-Stacks, Legacy-Systeme können nicht einfach aktualisiert werden und manche Hersteller haben noch keine Patches bereitgestellt.

Wer Log4Shell jetzt ausnutzt

Während in den ersten Wochen vor allem Kryptominer und Botnetze die Lücke ausnutzten, haben mittlerweile staatliche Akteure das Feld übernommen. Die CISA dokumentiert aktive Ausnutzung durch APT-Gruppen aus China (Deep Panda), Iran (TunnelVision) und Nordkorea (Lazarus). Diese Gruppen nutzen Log4Shell als initialen Zugangsvektor für langfristige Spionagekampagnen.

Was Unternehmen jetzt tun müssen

Der erste Schritt ist ein vollständiger Scan aller Systeme auf Log4j-Versionen – einschließlich eingebetteter und transitiver Abhängigkeiten. Tools wie Syft, Grype oder der CISA Log4j Scanner helfen dabei. Anschließend müssen alle Instanzen auf mindestens Version 2.17.1 aktualisiert werden. Wo Patching nicht möglich ist, sollten Workarounds (Entfernung der JndiLookup-Klasse) und Netzwerksegmentierung eingesetzt werden.

Key Facts auf einen Blick

CVE: CVE-2021-44228 (Log4Shell), CVSS 10.0

Entdeckung: 9. Dezember 2021

Ungepatcht (Juli 2022): Geschätzt 30% aller Instanzen

Betroffene Software: Tausende Java-Anwendungen (VMware, Cisco, IBM, Apache, u.v.m.)

Quelle: CISA Advisory, Qualys Research, Sonatype, Juli 2022

Fakt: Nur 43 Prozent der deutschen KMUs haben laut Bitkom einen IT-Notfallplan.

Fakt: Laut Allianz Risk Barometer 2025 sind Cyberangriffe das größte Geschäftsrisiko weltweit.

Häufige Fragen

Was macht Log4Shell so gefährlich?

Log4Shell ermöglicht Remote Code Execution ohne Authentifizierung – ein Angreifer kann beliebigen Code auf dem Server ausführen, indem er einen speziell gestalteten String in ein Log-Feld einfügt. Die Schwachstelle hat den maximalen CVSS-Score von 10.0 und ist trivial auszunutzen.

Wie finde ich heraus, ob meine Systeme betroffen sind?

Nutzen Sie Scanner wie den CISA Log4j Scanner, Syft oder Grype. Wichtig: Log4j kann als transitive Abhängigkeit in Software versteckt sein, die nicht direkt Java nutzt. Prüfen Sie auch Container-Images, eingebettete Anwendungen und IoT-Geräte.

Reicht ein Patch auf Version 2.17.1?

Ja, Version 2.17.1 behebt alle bekannten Log4Shell-Varianten. Allerdings müssen alle Instanzen gepatcht werden – auch eingebettete. Bei Software von Drittanbietern sind Sie auf deren Updates angewiesen. Prüfen Sie den Patch-Status bei allen Herstellern.

Warum dauert das Patching so lange?

Log4j ist eine der meistgenutzten Java-Bibliotheken und steckt oft als transitive Abhängigkeit mehrere Ebenen tief in Software-Stacks. Legacy-Systeme können nicht einfach aktualisiert werden, und manche Hersteller haben noch keine Patches bereitgestellt. Zudem fehlt vielen Unternehmen der Überblick über alle eingesetzten Softwarekomponenten.

Was hat Log4Shell mit SBOM zu tun?

Log4Shell hat die Diskussion um Software Bill of Materials (SBOM) massiv beschleunigt. Ein SBOM listet alle Softwarekomponenten und Abhängigkeiten auf. Hätten Unternehmen SBOMs gehabt, hätten sie innerhalb von Minuten gewusst, wo Log4j eingesetzt wird. Die US-Regierung fordert SBOMs mittlerweile per Executive Order.

Weiterführende Lektüre im Netzwerk

Open-Source-Sicherheit in der Cloud auf cloudmagazin: cloudmagazin.com

Patch-Management-Strategien auf mybusinessfuture: mybusinessfuture.com

Warum CIOs jetzt in SBOM investieren auf Digital Chiefs: digital-chiefs.de

Verwandte Artikel

• KI-gestütztes SOC: Wie automatisierte Security Operations den Fachkräftemangel lösen
• ChatGPT und Cybersecurity: Warum KI Angriff und Verteidigung verändert
• NIS2-Richtlinie verabschiedet: Was jetzt auf Unternehmen zukommt

Mehr aus dem MBF Media Netzwerk

cloudmagazin | MyBusinessFuture | Digital Chiefs

Quelle Titelbild: Pexels / Tima Miroshnichenko

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer