Der Bundesfinanzhof (BFH) reagiert auf einen Angriff auf die Log4Shell-Lücke seiner offiziellen Website und schaltet sie in den Wartungsmodus.„Aufgrund von Wartungsarbeiten am Server ist unsere Webseite bis auf Weiteres nicht erreichbar“, heißt es stattdessen. Im Normalbetrieb ist die Website ein Informationsangebot zu den Aktivitäten des Gerichts. Unter anderem können dort wichtige steuerrechtliche Entscheidungen nachgelesen werden. Einen verarbeitenden Bereich hatte die Website indes noch nie.
Kein Steuerurteil unter dieser URL. BFH ist offline. (Screenshot: t3n)
BFH erkennt und stoppt Angriff
Der Angriff auf die gefährliche Sicherheitslücke konnte nach Angaben des BFH erkannt und auch gestoppt werden. Auf das interne Netz des Gerichts hätten die Angreifenden keinen Zugriff gehabt. Weitere Webseiten seien ebenfalls nicht betroffen. Auch Zugriff auf interne Verfahren, etwa die Inhalte von Steuerrechtsstreitigkeiten, hätten nicht erfolgen können.
Wie lange die vorsorgliche Abschaltung andauern wird, konnte ein Sprecher des BFH am Freitag nicht sagen. Weltweit wird Log4Shell, so die Bezeichnung der Sicherheitslücke in der sehr verbreiteten Protokollierungssoftware Log4j, als eine der größten Bedrohungen für das Internet seit seiner Erfindung betrachtet. Das Bundesamt für Sicherheit in der Informationstechnik hat – wie viele ähnliche Behörden weltweit – Log4Shell mit der höchsten Warnstufe versehen.
Dynamische Lage um Log4Shell
Die Lage entwickelt sich dynamisch. Microsoft hatte zwischenzeitlich festgestellt, dass Staatshacker bereits Zugriffe auf Server an Ransomware-Entwickler verkaufen. Weltweit laufen auf beiden Seiten der Linie zwischen Gut und Böse Massen-Scans, um die vulnerablen Geräte schnellstmöglich zu identifizieren.
Unsere ausführliche Log4Shell-Berichterstattung findet ihr hier:
- Microsoft: Staatshacker schleusen Ransomware über Log4Shell ein
- Log4shell: Warum die Log4j-Sicherheitslücke ein Problem für Jahre ist
- Log4Shell: So könnten iPhones und Teslas ihre Hersteller angreifen
- Log4j: Was sich an Open Source dringend ändern muss
- Log4j: BSI sieht noch keine konkrete Gefahr für Verbraucher
- „Extrem kritisch“: BSI stuft Bedrohung durch Sicherheitslücke in Java-Bibliothek Log4j hoch
- Minecraft, Apple, Steam: Schwere Sicherheitslücke in Logging-Library gefährdet zahlreiche Dienste
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team