Milliarden Geräte weltweit sind von der Sicherheitslücke Log 4 Shell bedroht. Die Sicherheitslücke in der Programmierumgebung Java, kann zum GAU der IT-Sicherheit werden. Gerade Unternehmen sind hier besonders gefährdet. Aus diesem Grund erklären wir Ihnen hier, was Sie als Geschäftsführer jetzt tun sollten.

Systeme immer aktuell halten

IT-Systeme sollten im Idealfall selbstverständlich immer auf dem aktuellen Stand gehalten werden. Für die Sicherheit der unternehmensweiten IT-Infrastruktur ist der Einsatz aktueller Betriebssysteme und das umgehende Einspielen von Software-Updates ein zentraler Baustein in der Sicherheitsstrategie.

Der Einsatz leistungsfähiger Patchmanagement-Systeme hat sich hierbei dank Automatisierung und geprüfter Patches als hochgradig effizient erwiesen. Das planbare Ausrollen von Updates gibt im Kontext von Business- und vor allem Sicherheitssoftware Planungssicherheit. Im industriellen Einsatz gibt es hierbei natürlich Ausnahmen. Nur so ist es proaktiv möglich, Schwachstellen automatisiert und schnell zu schließen.

In den meisten Fällen ist die Aktualisierung von IT-Systemen planbar und das Einspielen von Sicherheits-Updates gehört zu den Standardaufgabe einer IT-Abteilung. Allein für Microsoft-Lösungen wurden im Gesamtjahr 2021 fast 900 Sicherheitsupdates ausgerollt. Das Einspielen von Updates und Sicherheitspatches gehört somit in den meisten Fällen zu den Routineaufgaben eines Administrators und sind nur selten ein Thema für die Unternehmensleitung. Anders sieht es mit kritischen Sicherheitslücken aus, oder wenn über Cyberangriffe und Datenlecks berichtet wird, die auf nicht geschlossene Lücken und somit nicht gepflegte IT-Systeme zurückzuführen sind. Im Zweifelsfall droht einem betroffenen Unternehmen hier hohe Kosten für die Wiederherstellung der Infrastruktur, für einen Datenschutzvorfall sowie Imageschäden. Generell sind Firmenlenker somit gut beraten, sich die Frage zu stellen: „Verwendet mein Unternehmen diese Software? Und wenn ja, haben wir den Patch auch wirklich installiert?"

Log4j ist in vielen Produkten verankert

Der Fall der Log4Shell-Sicherheitslücke sollte definitiv die Geschäftsleitung auf den Plan rufen –  und das nicht nur, weil das Bundesamt für Sicherheit in der Informationstechnologie (BSI) diese Schwachstelle zu Recht als extrem kritisch einstuft. Doch warum eigentlich? Zunächst einmal betrifft diese Sicherheitslücke ein Stück Code - die Apache Log4j 2-Bibliothek - der weltweit verwendet wird. Die Wahrscheinlichkeit, dass das eigene Unternehmen eine oder mehrere Softwares verwendet, die diesen Code beinhaltet ist hoch. Selbst versierte IT-Mitarbeiter können ad hoc kaum eine Einschätzung über deren Implementierung abgeben. In dieser Hinsicht unterscheidet sie sich von fast allen anderen Schwachstellen, mit denen sich IT-Sicherheitsteams normalerweise befassen. Darüber hinaus ist die Ausnutzung der Schwachstelle für Angreifer nicht sonderlich schwer, denn: Cyber-Kriminelle, die irgendwo in der Ferne vor ihren Bildschirmen sitzen und über ein wenig Wissen über die Programmiersprache Java verfügen, können das Internet nach anfälligen Versionen der Code-Bibliothek scannen und bösartige Pakete senden, um das jeweilige System zu kompromittieren, das dem Internet ausgesetzt ist.

ESET konnte bereits nachweisen, dass Angreifer versuchen die Lücke auszunutzen, um Malware wie Coin-Miner, die Trojaner Tsunami und Mirai sowie das Penetrationstest-Tool Meterpreter zu verbreiten. Es ist wahrscheinlich nur eine Frage der Zeit, bis die Angriffe zunehmen und fortgeschrittene Bedrohungsakteure die Schwachstelle in Scharen ins Visier nehmen werden.

Schnelles Handeln erforderlich

Die Log4Shell-Schwachstelle erfordert schnelles Handeln und Unternehmen müssen, falls noch nicht erfolgt, eine vollständige Überprüfung aller von ihnen genutzten und entwickelten Softwares auf das Vorhandensein anfälliger Versionen der Log4j 2-Bibliothek durchführen. Die Gefahr, die durch diese kritische Sicherheitslücke besteht, ist real. Allein bei unseren Unternehmenskunden konnten bereits nach wenigen Tagen des Bekanntwerdens der Schwachstelle mehrere hunderttausend Angriffsversuchen dank ESET-Technologien erkannt und erfolgreich blockiert werden.

Unternehmensleiter sollten sich somit bei ihren IT-Mitarbeiter rückversichern, um sicherzustellen, dass eine vollständige Durchsuchung aller Software-Assets von A bis Z auf der Grundlage einer nach Prioritäten geordneten Liste durchgeführt wird. Viele Software-Hersteller haben ihre Produkte bereits überprüft und Kundenhinweise dazu veröffentlicht, ob diese betroffen sind und welche Abhilfemaßnahmen die Kunden ergreifen sollten. Das IT-Team sollte daher umgehend nach diesen Hinweisen suchen.

Sobald anfällige Versionen der Log4j-Bibliothek gefunden werden, sollten Administratoren unbedingt auf die neueste Version der Bibliothek aktualisieren, die derzeit 2.16.0 ist.  Mit dem Update und den Hinweisen können IT-Teams Schäden durch die Log4Shell-Schwachstelle vermeiden.

Weiterführende Links

Eine Liste betroffener Software-Lösungen gibt es auf der Git-Hub-Seite des Nationaal Cyber Security Centrum (NCSC-NL): https://github.com/NCSC-NL/log4shell/blob/main/software/README.md#e

Mehr Informationen zur Sicherheitslücke Log4Shell in unserem WeLiveSecurity-Artikel: Log4Shell‑Schwachstelle: Was wir bisher wissen

Informationen zu ESET-Lösungen haben wir für Sie auf unserem Support-Blog zusammengetragen.