Log4Shell Schwachstelle in der Log4j-Java-Protokollierungsbibliothek
Log4Shell Schwachstelle in der Log4j-Java-Protokollierungsbibliothek
varISO informiert, was Sie zu beachten haben
Für IT-Verantwortliche und IT-Sicherheitsbeauftragte wird sich das dritte Adventswochenende ins kollektive Gedächtnis einbrennen und vielen schlaflose Nächte bereitet haben. Zum Start des Wochenendes warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Warnstufe rot. Dies ist die höchstmögliche Alarmierung für extrem kritische IT-Bedrohungslagen, bei der viele Dienste ausfallen und der Regelbetrieb nicht aufrechterhalten werden kann.
Konkret geht es um eine kritische Sicherheitslücke in dem extrem weit verbreiteten Softwareschnipsel in Java „log4j“. Laut BSI wird von Angreifenden aktuell fieberhaft über das Internet nach verwundbaren Systemen gesucht, um diese zu kompromittieren. Ab Donnerstag, den 9. Dezember ging die Berichterstattung in der IT-Sicherheitsszene zu dem Thema los und es konnten Angriffsmuster bis zum 1. Dezember nachverfolgt werden.
Kritische Lage besonders für eCommerce
Die Schwachstelle vereint drei Eigenschaften, die sie zu einem Worst-Case machen: Sie ist weit verbreitet, lässt sich trivial ausnutzen und ermöglicht die vollständige Übernahme des betroffenen Systems. Als modularer Teil der Java-Software ist log4j tief in die Softwarestruktur vieler Anbieter eingebunden, meist ohne dass die Softwarekunden davon wissen. Sie dient als Java-Bibliothek der Protokollierung von App-Aktivitäten der Anwendenden und wird daher von Entwicklern im Online-Bereich gerne verwendet. Durch die tiefgreifende Einbindung kann die Installation des Patches ungewollt weitreichende Folgen haben und zu Inkompatibilität und Softwarefehlern führen. Theoretisch betroffen sind nicht nur Dienste die direkt über das Internet erreichbar sind, sondern auch Anwendungen, die nur mittelbar mit Servern verbunden sind, die wiederum nach außen kommunizieren.
Gleichzeitig lässt sich diese Schwachstelle mit wenigen Code-Kommandos auch von Laien ausführen. Sobald die Kontrolle über das betroffene System erlangt wurde, ist jede Form der Ausnutzung denkbar. Erste Fälle von Krypto-Minern, also dem Ausnutzen fremder Rechenkapazität zum Schürfen von Kryptowährungen, und Bot-Netzen sind öffentlich bekannt geworden. Aber auch Datenmissbrauch oder Ransomware-Angriffe wären naheliegende Gefahren-Szenarien. Eine weitere Möglichkeit wäre zunächst unbemerkt eine Hintertür im kompromittierten System zu hinterlassen und diese zu einem späteren Zeitpunkt mit einem gezielten Angriff auszunutzen.
Neben insgesamt mindestens 140 betroffene Software-Herstellern, ist auch Apache betroffen. Apache ist als quelloffenes und freies Produkt einer der am meisten genutzte Webserver im ganzen Internet. Daher sind aktuell gerade Online-Systeme wie Shops gefährdet.
Schnelles und konkretes Handeln ist möglich und nötig
Das BSI rät potenziell betroffene, aber nicht zwingend benötige Systeme abzuschalten und die eigenen Netzwerke so zu segmentieren, dass potentiell verwundbare Systeme von allen anderen isoliert werden. Web-Application-Firewalls (WAF), Intrusion Prevention System (IPS) und Reverse Proxy Verbindungen sollten bei nicht abschaltbaren aber potentiell betroffene Systeme so konfiguriert werden, dass diese bekannten Angriffsmuster direkt abgewiesen werden. Es empfiehlt sich Netzwerkverbindungen auf ein Minimum zu reduzieren, möglichst viel und genau zu protokollieren und eine Anomalieerkennung zu betreiben.
Setzen Sie ein starkes Zeichen für die Sicherheit Ihrer Informationen, Daten und Systeme. Entscheiden Sie sich bewusst für die Einführung eines Managementsystems nach DIN EN ISO/IEC 27001! Dieses geht weiter als die reine IT-Sicherheit.
Gerne helfen wir Ihnen bei der Implementierung von ISO 27001 in Ihrem Unternehmen. Sprechen Sie uns an!
Das Bayerische Landesamt für Datenschutzaufsicht hat in diesem PDF die wichtigsten Fakten zur Erstanalyse und weiteren Maßnahmen zusammengefasst.