Der Bundesfinanzhof (BFH) reagiert auf einen Angriff auf die Log4Shell-Lücke seiner offiziellen Website und schaltet sie in den Wartungsmodus.„Aufgrund von Wartungsarbeiten am Server ist unsere Webseite bis auf Weiteres nicht erreichbar“, heißt es stattdessen. Im Normalbetrieb ist die Website ein Informationsangebot zu den Aktivitäten des Gerichts. Unter anderem können dort wichtige steuerrechtliche Entscheidungen nachgelesen werden. Einen verarbeitenden Bereich hatte die Website indes noch nie.
BFH erkennt und stoppt Angriff
Der Angriff auf die gefährliche Sicherheitslücke konnte nach Angaben des BFH erkannt und auch gestoppt werden. Auf das interne Netz des Gerichts hätten die Angreifenden keinen Zugriff gehabt. Weitere Webseiten seien ebenfalls nicht betroffen. Auch Zugriff auf interne Verfahren, etwa die Inhalte von Steuerrechtsstreitigkeiten, hätten nicht erfolgen können.
Wie lange die vorsorgliche Abschaltung andauern wird, konnte ein Sprecher des BFH am Freitag nicht sagen. Weltweit wird Log4Shell, so die Bezeichnung der Sicherheitslücke in der sehr verbreiteten Protokollierungssoftware Log4j, als eine der größten Bedrohungen für das Internet seit seiner Erfindung betrachtet. Das Bundesamt für Sicherheit in der Informationstechnik hat – wie viele ähnliche Behörden weltweit – Log4Shell mit der höchsten Warnstufe versehen.
Dynamische Lage um Log4Shell
Die Lage entwickelt sich dynamisch. Microsoft hatte zwischenzeitlich festgestellt, dass Staatshacker bereits Zugriffe auf Server an Ransomware-Entwickler verkaufen. Weltweit laufen auf beiden Seiten der Linie zwischen Gut und Böse Massen-Scans, um die vulnerablen Geräte schnellstmöglich zu identifizieren.
Unsere ausführliche Log4Shell-Berichterstattung findet ihr hier:
- Microsoft: Staatshacker schleusen Ransomware über Log4Shell ein
- Log4shell: Warum die Log4j-Sicherheitslücke ein Problem für Jahre ist
- Log4Shell: So könnten iPhones und Teslas ihre Hersteller angreifen
- Log4j: Was sich an Open Source dringend ändern muss
- Log4j: BSI sieht noch keine konkrete Gefahr für Verbraucher
- „Extrem kritisch“: BSI stuft Bedrohung durch Sicherheitslücke in Java-Bibliothek Log4j hoch
- Minecraft, Apple, Steam: Schwere Sicherheitslücke in Logging-Library gefährdet zahlreiche Dienste