Und – ganz wichtig für unsere Kund*innen: Ist Converia auch betroffen?
Schwachstellen und Lücken im System einer Anwendung sind erst mal nichts Ungewöhnliches und können ganz oft schon geschlossen werden, bevor irgendein Schaden entsteht oder großflächig davor gewarnt werden müsste. Wer ab und an Changelogs und Software-Updates verfolgt, kann manchmal einen Eintrag entdecken, in dem darauf hingewiesen wird, dass ein potenzielles Sicherheitsleck behoben wurde – Entwarnung, keine Sorge, alles unter Kontrolle, nichts passiert.
Mit der Schwachstelle in Log4j ist das anders.
Spätestens als das Bundesamt für Sicherheit in der Informationstechnik die Warnstufe auf Rot setzte, wurde die Lage extrem kritisch.
Das liegt daran, dass die Sicherheitslücke in einer Server-Software entdeckt wurde, die viele Online-Dienste, Unternehmen und Bundesbehörden einsetzen, deren Server-Anwendungen auf JAVA basieren. Und das sind wirklich sehr, sehr viele. Sogar der Mars-Roboterhubschrauber Ingenuity verwendet Log4j, was noch im Juni als interessante Randnotiz bei Twitter verkündet, später aber wieder bestritten wurde. Die mal mehr, mal weniger prominenten Schwachstellen gibt es dennoch. Und mal ehrlich – falls diese Hackern sogar außerhalb der Erde Türen öffnen: Hätte es das inmitten von Corona auch noch gebraucht?
Welchen Schaden können Konferenzdaten durch das Log4j-Problem nehmen?
Besonders attraktiv sind immer solche Daten, die nicht öffentlich zugänglich sind, sondern geschützt auf einem Server liegen. Das sind üblicherweise Daten zu Teilnehmenden, Referierenden oder mitunter auch die wissenschaftlichen Beiträge, die im Vorfeld der Konferenz begutachtet und dazu im System hinterlegt werden müssen. Betroffen sein können aber auch die Anwendungen selbst, die nach einem erfolgreichen Angriff eventuell nicht mehr zugänglich sind. Gerade virtuelle und hybride Konferenzen, in deren Rahmen sich fast oder tatsächlich alles digital abspielt, sind dabei besonders gefährdet, denn sobald die Konferenz-Software betroffen ist, ist erst mal nichts mehr sicher.
Die Gefahrenlage ist im Log4j-Fall umso höher, weil es für Angreifer gar nicht so schwer ist, auf den Server zu kommen. Mit Hilfe der Sicherheitslücke können Vorkehrungen wie Firewalls nun leider umgangen werden. Dazu geben Angreifer erst mal nur eine Kette aus Zeichen ein, die anschließend an den Server übergeben wird, denn dieser erkennt erst mal keine böse Absicht dahinter.
Das passiert etwa, wenn jemand im Anmeldeformular für eine Konferenz statt dem eigentlich geforderten Namen eine Zeichenfolge einträgt, die der Server arglos durchwinkt. Nur handelt es sich bei der Zeichenfolge eben nicht um eine bedeutungslose Reihe aus Buchstaben, Zahlen und Sonderzeichen, sondern um einen konkreten Befehl, den der Server dann auch ausführt und damit jemandem Zugang verschafft, der dort nichts verloren hat, jetzt aber Schadsoftware installieren oder Konferenzdaten abgreifen kann.
Was bedeutet das für meine Konferenz konkret?
Leider können Veranstaltende selbst kaum etwas unternehmen, wenn die Daten der Konferenz von einem Software-Anbieter verwaltet werden. Dann ist vor allem dieser in der Pflicht, entsprechende Sicherheitsmaßnahmen zu ergreifen.
Sicherheits-Updates sind inzwischen verfügbar, müssen aber vom Anbieter selbst installiert werden und das möglichst schnell und für jede Anwendung, die auf JAVA basiert und die Log4j-Bibliothek verwendet.
Um das tun zu können, ist eine ausführliche Bestandsaufnahme auf der Seite des Konferenz-Software-Anbieters nötig. Nicht immer werden alle Anwendungen automatisch mit den neuesten Updates ausgestattet. Oft ist es sogar besser, erst mal abzuwarten. Hin und wieder kommt es vor, dass Updates Probleme in Bezug auf Funktionen mit sich bringen, die aber erst nach und nach beobachtet werden, oder das Einspielen der Aktualisierungen wird schlichtweg vergessen oder verzögert sich aus anderen Gründen.
Solange das bei Log4j der Fall ist, steht die Tür immer noch offen, die von Angreifern vielleicht nicht sofort genutzt wird, bei der diese aber schon mal im Stillen Vorkehrungen treffen, um sie noch möglichst lange offenzuhalten. Der eigentliche Angriff erfolgt dann vielleicht erst in einigen Monaten, wenn längst niemand mehr vom Log4j-Problem spricht.
Ist Converia auch gefährdet?
Auch bei uns kam sofort die Frage auf, inwiefern Log4j den von uns betreuten Konferenzen gefährlich werden könnte und inwiefern unser System nun verwundbar ist. Aus der Entwicklungsabteilung kam allerdings ziemlich schnell Entwarnung: Weder unsere Konferenz-Software Converia noch unsere Virtual Venue als Lösung für virtuelle und hybride Konferenzen sind von den Log4j-Problemen betroffen. Weder basiert eines der beiden Produkte auf JAVA noch setzen wir einzelne JAVA-Komponenten dafür ein. Unter unseren ergänzenden Produkten gibt es zwar solche wie etwa unseren Druckserver, der auf JAVA basiert. Dieser bindet jedoch die Log4j-Bibliothek nicht ein und stellt somit genau wie alle anderen Komponenten kein solches Angriffsrisiko dar.
Entwarnung gibt es auch für Konferenzen, für die wir das Hosting übernehmen. Unser Hoster hat bereits entsprechende Maßnahmen eingeleitet und Sicherheits-Updates installiert. Dabei stellte sich auch heraus, dass bisher keine Komponenten unmittelbar betroffen waren. Geprüft und beobachtet wird allerdings weiterhin, um etwaige Schwachstellen sofort erkennen und beheben zu können, sodass die Systeme und Daten sicher bleiben und Veranstaltende nichts zu befürchten haben.
Haben Sie weitere, vielleicht auch etwas speziellere Fragen zu Log4j und Ihrer Konferenz? Gern helfen wir weiter.