Log4j-Sicherheitslücke: Was Gartner nun empfiehlt

Da Sicherheitsvorfälle aufgrund der Java-Schwachstelle Log4j kaum zu vermeiden sind, sollten IT-Verantwortliche nicht nur technische Maßnahmen ergreifen. [...]

Löste am 9. Dezember 2021 Entsetzen in IT-Security-Kreisen aus: die Java-Schwachstelle im Logging-Paket Log4j (c) pixabay.com

Aus Sicht vieler IT-Sicherheitsprofis war der 9.Dezember 2021 ein rabenschwarzer Tag: Im Apache-Logging-Paket Log4j (CVE-2021-44228), der besonders weit verbreiteten und beliebten Java-Logging-Bibliothek, wurde eine besonders schwerwiegende entdeckt. Die sogenannte Log4Shell-Schwachstelle kann von Angreifern besonders einfach ausgenutzt werden, um schädlichen Code auszuführen. Patches gestalten sich dagegen eher kompliziert, was bedeutet, dass dieses Problem ähnlich langlebig wie die Corona-Pandemie sein könnte.

Die Sicherheitsorganisation MITRE stufte die Schwachstelle als kritisch ein und bewertete sie mit einem maximalen CVSS-Schweregrad (CSSV = Common Vulnerability Scoring System) von zehn Punkten. Kurz darauf begannen erste Angreifer, die Log4j-Schwachstelle auszunutzen. Staatliche Cybersicherheits-Institutionen auf der ganzen Welt, darunter das BSI, sahen sich veranlasst, unverzüglich Warnungen herauszugeben, in denen sie Unternehmen aufforderten, ihre Systeme sofort zu patchen.

Log4j-Sicherheitslücke ist weit verbreitet

Jonathan Care, Senior Director Analyst bei Gartner, beobachtet heute schon eine „extrem weite Verbreitung der Log4j-Sicherheitslücke“. Sie betreffe Unternehmensanwendungen genauso wie Embedded Systems und deren Sub-Komponenten. Java-basierte Anwendungen wie Cisco Webex, Minecraft oder FileZilla FTP seien Beispiele für betroffene Programme, aber die Liste sei noch keineswegs vollständig. Die Schwachstelle betreffe sogar die Mars-Mission „Helicopter“, wo Apache Log4j für das Event Logging nutze – eine Behauptung, die die Nasa allerdings energisch bestreitet.

Sicherheits-Profis katalogisieren inzwischen die betroffenen Systeme auf Github. Naturgemäß kann diese Liste allerdings nicht vollständig sein. Sie bietet keine Garantie dafür, dass ungenannte Systeme nicht betroffen sind. Zudem bewertet Gartner die Wahrscheinlichkeit, dass diese Schwachstelle in immer mehr Systemen ausgenutzt werden wird, als hoch. Auch wenn ein bestimmter technischer Stack kein Java verwende, sollten Sicherheitsverantwortliche davon ausgehen, dass wichtige Lieferantensysteme – SaaS-Anbieter, Cloud-Hosting-Anbieter und Webserver-Anbieter – dies täten.

Wird die Schwachstelle nicht behoben, können Angreifer sie nutzen, um Server, Anwendungen und Geräte zu übernehmen und in Unternehmensnetzwerke einzudringen. Es gibt schon etliche Berichte über , Ransomware und andere automatisierte Bedrohungen, die die Sicherheitslücke aktiv ausnutzen.

Log4j-Angriffe sind recht einfach

Dabei ist die Angriffsschwelle besonders niedrig. Der Exploit findet schon vor der statt, das heißt, Angreifer müssen sich nicht erst bei einem betroffenen System angemeldet haben, um einzudringen. Mit anderen Worten: IT-Sicherheits-Profis sollten davon ausgehen, dass ihre Webserver angreifbar sind.

Gartner empfiehlt den Chief Information Security Officers (CISOs), die Identifizierung und Behebung der Log4j-Schwachstelle zu einer absoluten und sofortigen Priorität zu machen. Sie sollten zu Beginn eine detaillierte Prüfung sämtlicher Anwendungen, Websites und Systeme in Ihrem Verantwortungsbereich vornehmen, die mit dem Internet verbunden sind oder als öffentlich zugänglich angesehen werden können. Das betreffe auch Herstellerprodukte und Cloud-basierte Dienste, die beim Anwender gehostet werden. Der Vorrang sollte dabei Systemen gegeben werden, die sensible betriebliche Daten enthalten, zum Beispiel Kundendaten oder Zugangsberechtigungen.

Ist diese Prüfung abgeschlossen, sollten IT-Sicherheitsverantwortliche ihre Aufmerksamkeit auf externe Mitarbeiter richten und sicherstellen, dass diese ihre persönlichen Geräte und Router aktualisieren. Diese stellen ein wichtiges Glied in der Sicherheitskette dar. Hier wird es nicht ausreichen, einfach nur eine Liste mit Anweisungen herauszugeben. Immerhin stellen anfällige Router einen potenziellen Zugang zu wichtigen Unternehmensanwendungen und Datenbeständen dar. Um hier voranzukommen, wird das Sicherheitsteam auf die Zusammenarbeit mit der gesamten IT angewiesen sein.

Gartner empfiehlt ferner, in Abstimmung mit der vorhandenen Incident-Response-Strategie die Reaktion auf schwerwiegende Vorfälle vorzubereiten. Dabei gelte es, alle Ebenen des Unternehmens einzubeziehen – einschließlich des CEO, des CIO und des Vorstands. CISOs sollten die Führungsebene unbedingt im Detail aufklären und darauf vorbereiten, im Zweifel auch in der Öffentlichkeit Rede und Antwort stehen zu müssen. Die Log4j-Schwachstelle und die Angriffsmuster, die sie ausnutzen, werden für eine ganze Weile akut bleiben. Gartner rät dazu, mindestens für die nächsten zwölf Monate besonders wachsam zu sein.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*