Log4j-Sicherheitslücke: Was Gartner nun empfiehlt

Da Sicherheitsvorfälle aufgrund der Java-Schwachstelle Log4j kaum zu vermeiden sind, sollten IT-Verantwortliche nicht nur technische Maßnahmen ergreifen. [...]

Löste am 9. Dezember 2021 Entsetzen in IT-Security-Kreisen aus: die Java-Schwachstelle im Logging-Paket Log4j (c) pixabay.com

Aus Sicht vieler IT-Sicherheitsprofis war der 9.Dezember 2021 ein rabenschwarzer Tag: Im Apache-Logging-Paket Log4j (CVE-2021-44228), der besonders weit verbreiteten und beliebten Java-Logging-Bibliothek, wurde eine besonders schwerwiegende entdeckt. Die sogenannte Log4Shell-Schwachstelle kann von Angreifern besonders einfach ausgenutzt werden, um schädlichen Code auszuführen. Patches gestalten sich dagegen eher kompliziert, was bedeutet, dass dieses Problem ähnlich langlebig wie die Corona-Pandemie sein könnte.

Die Sicherheitsorganisation MITRE stufte die Schwachstelle als kritisch ein und bewertete sie mit einem maximalen CVSS-Schweregrad (CSSV = Common Vulnerability Scoring System) von zehn Punkten. Kurz darauf begannen erste Angreifer, die Log4j-Schwachstelle auszunutzen. Staatliche Cybersicherheits-Institutionen auf der ganzen Welt, darunter das BSI, sahen sich veranlasst, unverzüglich Warnungen herauszugeben, in denen sie Unternehmen aufforderten, ihre Systeme sofort zu patchen.

Log4j-Sicherheitslücke ist weit verbreitet

Jonathan Care, Senior Director Analyst bei Gartner, beobachtet heute schon eine „extrem weite Verbreitung der Log4j-Sicherheitslücke“. Sie betreffe Unternehmensanwendungen genauso wie Embedded Systems und deren Sub-Komponenten. Java-basierte Anwendungen wie Cisco Webex, Minecraft oder FileZilla FTP seien Beispiele für betroffene Programme, aber die Liste sei noch keineswegs vollständig. Die Schwachstelle betreffe sogar die Mars-Mission „Helicopter“, wo Apache Log4j für das Event Logging nutze – eine Behauptung, die die Nasa allerdings energisch bestreitet.

Sicherheits-Profis katalogisieren inzwischen die betroffenen Systeme auf Github. Naturgemäß kann diese Liste allerdings nicht vollständig sein. Sie bietet keine Garantie dafür, dass ungenannte Systeme nicht betroffen sind. Zudem bewertet Gartner die Wahrscheinlichkeit, dass diese Schwachstelle in immer mehr Systemen ausgenutzt werden wird, als hoch. Auch wenn ein bestimmter technischer Stack kein Java verwende, sollten Sicherheitsverantwortliche davon ausgehen, dass wichtige Lieferantensysteme – SaaS-Anbieter, Cloud-Hosting-Anbieter und Webserver-Anbieter – dies täten.

Wird die Schwachstelle nicht behoben, können Angreifer sie nutzen, um Server, Anwendungen und Geräte zu übernehmen und in Unternehmensnetzwerke einzudringen. Es gibt schon etliche Berichte über , Ransomware und andere automatisierte Bedrohungen, die die Sicherheitslücke aktiv ausnutzen.

Log4j-Angriffe sind recht einfach

Dabei ist die Angriffsschwelle besonders niedrig. Der Exploit findet schon vor der statt, das heißt, Angreifer müssen sich nicht erst bei einem betroffenen System angemeldet haben, um einzudringen. Mit anderen Worten: IT-Sicherheits-Profis sollten davon ausgehen, dass ihre Webserver angreifbar sind.

Gartner empfiehlt den Chief Information Security Officers (CISOs), die Identifizierung und Behebung der Log4j-Schwachstelle zu einer absoluten und sofortigen Priorität zu machen. Sie sollten zu Beginn eine detaillierte Prüfung sämtlicher Anwendungen, Websites und Systeme in Ihrem Verantwortungsbereich vornehmen, die mit dem Internet verbunden sind oder als öffentlich zugänglich angesehen werden können. Das betreffe auch Herstellerprodukte und Cloud-basierte Dienste, die beim Anwender gehostet werden. Der Vorrang sollte dabei Systemen gegeben werden, die sensible betriebliche Daten enthalten, zum Beispiel Kundendaten oder Zugangsberechtigungen.

Ist diese Prüfung abgeschlossen, sollten IT-Sicherheitsverantwortliche ihre Aufmerksamkeit auf externe Mitarbeiter richten und sicherstellen, dass diese ihre persönlichen Geräte und Router aktualisieren. Diese stellen ein wichtiges Glied in der Sicherheitskette dar. Hier wird es nicht ausreichen, einfach nur eine Liste mit Anweisungen herauszugeben. Immerhin stellen anfällige Router einen potenziellen Zugang zu wichtigen Unternehmensanwendungen und Datenbeständen dar. Um hier voranzukommen, wird das Sicherheitsteam auf die Zusammenarbeit mit der gesamten IT angewiesen sein.

Gartner empfiehlt ferner, in Abstimmung mit der vorhandenen Incident-Response-Strategie die Reaktion auf schwerwiegende Vorfälle vorzubereiten. Dabei gelte es, alle Ebenen des Unternehmens einzubeziehen – einschließlich des CEO, des CIO und des Vorstands. CISOs sollten die Führungsebene unbedingt im Detail aufklären und darauf vorbereiten, im Zweifel auch in der Öffentlichkeit Rede und Antwort stehen zu müssen. Die Log4j-Schwachstelle und die Angriffsmuster, die sie ausnutzen, werden für eine ganze Weile akut bleiben. Gartner rät dazu, mindestens für die nächsten zwölf Monate besonders wachsam zu sein.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*