Schwachstelle Log4Shell: Was Sie jetzt tun müssen

Eine kürzlich bekannt gewordene Sicherheitslücke der Protokollierungsbibliothek Log4j (CVE-2021-44228) zwingt Administratoren zum Handeln. Die Schwachstelle Log4Shell ermöglicht das Ausführen von Javacode in der betroffenen Bibliothek. Dies kann von Angreifern ausgenutzt werden, um eigene Schadware zu platzieren, darunter auch Ransomware, welche für eine umfangreiche Datenverschlüsselung sorgen kann, sowie Kryptominer, welche die Ressourcen kompromittierter Geräte für das gezielte Mining von Kryptowährungen heranziehen. Zudem können betroffene Systeme von Angreifern auch in ein Botnetz integriert werden, von welchem aus Cyberattacken ausgeführt werden können.

Vorgehen zur Fehlerbehebung

Die Schwachstelle betrifft dabei Log4j bis zur Version 2.14. Eine neue Version der Bibliothek 2.15, welche die Lücke behebt, wurde bereits veröffentlicht. Allerdings ist die Problematik tiefgehender. Denn bereits die Feststellung, ob Systeme von der Sicherheitslücke betroffen sind, ist nicht trivial. Aufgrund der weiten Verbreitung der Log4j-Bibliothek, kommt eine Vielzahl von möglichen Produkten in Betracht, welche auf das Vorliegen der Lücke hin untersucht werden sollten.

Erschwerend kommt hinzu, dass verwendete Software oft auf eigene Instanzen der Bibliothek zurückgreift, so dass ein Patchen der Systembibliothek im Zweifel nicht ausreichend ist, sondern jede Anwendung für sich aktualisiert werden muss, um die Sicherheitslücke zu schließen.

Eine Liste mit in Frage kommenden Produkten mit Verweisen zu Stellungnahmen der Hersteller wurde auf GitHub veröffentlicht. Darunter finden sich auch im Unternehmenskontext weit verbreitete Anwendungen von Herstellern wie Apache oder VMWare. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt in seiner Gefährdungsmeldung die Liste wiederholt mit eingesetzten Produkten abzugleichen, da diese fortlaufend aktualisiert wird.

Ist ein Patchen aktuell nicht möglich, sollte in jedem Falle geprüft werden, inwieweit eine Härtung der betroffenen Systeme, vor allem hinsichtlich möglicher ausgehender Verbindungen, Abhilfe schaffen kann. Auch eine vorübergehende Deaktivierung von betroffenen Systemen oder Komponenten sollte in Erwägung gezogen werden, bis eine sichere Möglichkeit zur Schließung der Lücke vorliegt.

Weitere Maßnahmen

Sind Unternehmen von der Schwachstelle betroffen, so gilt es neben schnellem technischen Handlungsbedarf auch eine mögliche datenschutzrechtliche Meldepflicht nach Art. 33 DSGVO zu berücksichtigen. Hintergrund ist die mögliche Beeinträchtigung von personenbezogenen Daten, welche auf den gefährdeten Systemen verarbeitet werden. Angreifer können durch eine erfolgte Kompromittierung beispielsweise für einen Datenabfluss sorgen und somit für einen Vertraulichkeitsbruch sorgen.

Selbst wenn es hierfür zunächst keine Anzeichen gibt, sollten Untersuchungen angestoßen und dokumentiert werden, um im Anschluss alle benötigten Informationen gegenüber möglichen Betroffenen und den Aufsichtsbehörden bekannt machen zu können.  Das BayLDA hat hierzu eine eigene Handreichung veröffentlicht, an welcher sich Unternehmen ebenfalls orientieren können.

Bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten für Ihr Unternehmen!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.