Was Sicherheitsverantwortliche über die Schwachstelle in Log4j wissen – und tun – müssen

Am 9. Dezember veröffentlichte die Apache Software Foundation einen Sicherheitshinweis, der eine Schwachstelle in der Ausführung von Remote-Codes (CVE-2021-44228) behebt, die das Java-basierte Log4j-Dienstprogramm betrifft. MITRE stufte die Schwachstelle als kritisch ein und wies ihr ein CVSS-Score von 10/10 zu. Kurz darauf begannen Angreifer, die Log4j-Schwachstelle auszunutzen, was staatliche Cybersicherheitsinstitutionen auf der ganzen Welt, darunter die United States Cybersecurity and Infrastructure Security Agency und das österreichische CERT, dazu veranlasste, Warnmeldungen herauszugeben, in denen sie Unternehmen aufforderten, ihre Systeme sofort zu patchen. 

Um die Auswirkungen der Log4j-Schwachstelle auf die Sicherheit und das Unternehmen besser zu verstehen, sprachen wir mit Jonathan Care, Senior Director Analyst bei Gartner, über die Risiken, die diese Schwachstelle für Unternehmen birgt, und die Schritte, die Sicherheitsverantwortliche unternehmen müssen, um ihre Unternehmenssysteme vor potenziellen Bedrohungen zu schützen.

Jetzt herunterladen: Die 3 wichtigsten strategischen Prioritäten für Sicherheit und Risikomanagement

Wie weit ist die Log4j-Schwachstelle verbreitet, und welche Arten von Systemen sind betroffen?

Die Log4j-Schwachstelle ist weit verbreitet und kann Unternehmensanwendungen, eingebettete Systeme und deren Unterkomponenten betreffen. Java-basierte Anwendungen wie Cisco Webex, Minecraft und FileZilla FTP sind allesamt Beispiele für betroffene Programme, aber diese Liste ist keineswegs erschöpfend. Die Schwachstelle betrifft sogar die Hubschraubermission Mars 2020, Ingenuity, die Apache Log4j für die Ereignisprotokollierung nutzt.

Erfahren Sie mehr: Was ist Cybersicherheit?

Die Sicherheitsgemeinschaft hat Ressourcen erstellt, die verwundbare Systeme katalogisieren. Es ist jedoch wichtig zu wissen, dass sich diese Listen ständig ändern. Wenn also eine bestimmte Anwendung oder ein bestimmtes System nicht aufgeführt ist, bedeutet dies nicht, dass sie/es nicht betroffen ist. Eine Anfälligkeit für diese Schwachstelle ist sehr wahrscheinlich, und selbst wenn ein bestimmter Technologie-Stack kein Java verwendet, sollten Sicherheitsverantwortliche damit rechnen, dass wichtige Lieferantensysteme – SaaS-Anbieter, Cloud-Hosting-Anbieter und Webserver-Anbieter – dies tun.

Angenommen, die Schwachstelle wird ausgenutzt, welche Bedrohung stellt dies für Unternehmensanwendungen und -systeme dar?

Wenn diese Schwachstelle nicht behoben wird, können Angreifer sie nutzen, um Computerserver, Anwendungen und Geräte zu übernehmen und in Unternehmensnetzwerke einzudringen. Es gibt bereits Berichte über Malware, Ransomware und andere automatisierte Bedrohungen, die diese Sicherheitslücke aktiv ausnutzen.

Die Angriffsschwelle für diese Schwachstelle ist extrem niedrig – es genügt, wenn ein Angreifer eine einfache Zeichenfolge in ein Chat-Fenster eintippt. Der Exploit ist „Vorauthentifizierung“, was bedeutet, dass ein Angreifer sich nicht bei einem anfälligen System anmelden muss, um es zu überwinden. Das heißt, Sie müssen damit rechnen, dass Ihr Webserver anfällig ist.

Welche Schritte sollten Führungskräfte im Bereich Cybersicherheit unternehmen, um ihr Unternehmen zu schützen?

Führungskräfte im Bereich der Cybersicherheit müssen die Identifizierung und Behebung dieser Schwachstelle zu einer absoluten und sofortigen Priorität machen. Beginnen Sie mit einem detaillierten Audit aller Anwendungen, Websites und Systeme in Ihrem Zuständigkeitsbereich, die mit dem Internet verbunden sind oder als öffentlich zugänglich angesehen werden können. Dazu gehören selbst gehostete Installationen von Anbieterprodukten und cloudbasierte Dienste. Achten Sie besonders auf Systeme, die sensible betriebliche Daten enthalten, wie beispielsweise Kundendaten und Zugangsberechtigungen.

Sobald dieses Audit abgeschlossen ist, sollten Sie Ihre Aufmerksamkeit auf die externen Mitarbeiter richten und sicherstellen, dass diese ihre persönlichen Geräte und Router aktualisieren, die ein wichtiges Glied in der Sicherheitskette darstellen. Dies wird wahrscheinlich ein proaktives, engagiertes Vorgehen erfordern, da es nicht ausreicht, einfach eine Liste von Anweisungen herauszugeben, da verwundbare Router einen potenziellen Zugang zu wichtigen Unternehmensanwendungen und Datenbeständen darstellen. Sie brauchen die Unterstützung und Zusammenarbeit des gesamten IT-Teams.

Insgesamt ist es an der Zeit, formelle Maßnahmen zur Reaktion auf schwere Vorfälle in Übereinstimmung mit den organisatorischen Reaktionsplänen für Vorfälle einzuleiten. Dieser Vorfall muss auf allen Ebenen des Unternehmens behandelt werden, einschließlich des CEO, CIO und des Vorstands. Vergewissern Sie sich, dass Sie die Führungsebene informiert haben und dass diese darauf vorbereitet ist, öffentlich auf Fragen zu antworten. Es ist unwahrscheinlich, dass diese Schwachstelle und die Angriffsmuster, die sie ausnutzen, in absehbarer Zeit verschwinden werden, so dass zumindest in den nächsten 12 Monaten aktive Wachsamkeit geboten sein wird.