Log4j
Log4Shell wird auch den Einzelhandel im Weihnachtsgeschäft beeinträchtigen
Was dem Einzelhandel jetzt helfen kann
Von Chris Vaughan, Area Vice President, Technical Account Management bei Tanium
Der durch die Pandemie sowieso schon stark in Mitleidenschaft gezogene Einzelhandel sieht sich gerade im diesjährigen Weihnachtsgeschäft einer neuen Bedrohung ausgesetzt. Die kritische Schwachstelle, genannt Log4Shell, in der Java-Bibliothek Log4j beunruhigt seit dem Wochenende Unternehmen und Behörden weltweit. Auch das BSI schlug bereits Alarm und warnte am Samstag vor einer extrem kritischen Bedrohungslage. Die Behörde hatte schließlich seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft, mit der Begründung, dass das betroffene Produkt sehr weit verbreitet sei und somit auch eine Vielzahl weiterer Produkte betreffe. Auch hieß es aus Bonn, die Sicherheitslücke könnte leicht ausgenutzt werden, ein Proof-of-Concept sei öffentlich verfügbar. In solchen Fällen könnten Angreifer betroffene Systeme vollständig übernehmen, dem BSI seien weltweit Massen-Scans und versuchte Kompromittierungen bekannt.
Diese Schwachstelle ist die schlimmste, die ich in meiner bisherigen Laufbahn gesehen habe, was die Anzahl der betroffenen Personen und Organisationen sowie die Schwere der möglichen Auswirkungen angeht. In den kommenden Tagen und Stunden werde ich mit vielen Unternehmen über die Herausforderungen sprechen, denen sie sich bei der Erkennung und Behebung der Sicherheitslücke gegenübersehen. Der Online-Handel ist ein Sektor, der aufgrund der hohen Geldbeträge, die über diese Websites fließen, besonders ins Visier von Angreifern geraten wird. Der Zeitpunkt des Auftretens dieser Sicherheitslücke ist besonders für diese Unternehmen ungünstig, da sie gerade jetzt, in der geschäftigsten Zeit des Jahres, so kurz vor Weihnachten, dringende Änderungen an ihren IT-Umgebungen vornehmen müssen. Um die Auswirkungen so gering wie möglich zu halten, sollten sie denselben Rat befolgen, den ich Unternehmen aller Branchen geben würde, nämlich die Sicherheitslücke so schnell wie möglich zu schließen. Hierbei sollten sie zuerst mit den nach außen gerichteten Teilen ihrer IT-Infrastruktur beginnen, wie zum Beispiel ihrer Website, bevor sie sich auf die internen Systeme konzentrieren.
Ein Fehler, der sich bei der Behebung des Problems in Unternehmen beobachten ließ, ist, dass diese sich zu sehr auf herkömmliche Tools zur Verwaltung von Sicherheitslücken verlassen. Diese Tools scannen installierte Anwendungen auf Probleme, aber wenn ein Framework wie Log4j umbenannt oder in einem anderen als dem Standardpfad installiert wurde, ist es wahrscheinlich, dass die Schwachstellenmanagement-Tools diese übersehen. Aus diesem Grund ist es besser, eine Lösung zu verwenden, die Konfigurationsstrings in Dateien analysiert.
Der Einsatz eines solchen Tools ist eine Möglichkeit, die Bedrohung durch solche Schwachstellen in Zukunft zu minimieren. Eine andere Möglichkeit wäre meiner Meinung nach, Open-Source-Projekte wie Log4j genauer unter die Lupe zu nehmen. Diese Frameworks und Tools werden von Tausenden von Unternehmen eingesetzt, werden aber oft von Menschen in ihrer Freizeit als Hobbyprojekt betrieben. In der Regel ist es unklar, wie viele Ressourcen für die Aufrechterhaltung von Sicherheitsstandards aufgewendet werden, aber ich glaube, dass Unternehmen dies in Zukunft vor dem Einsatz von Open-Source-Tools stärker überprüfen werden.
Diese bedauerliche Nachricht ist eine weitere Erinnerung daran, wie wichtig Cyber-Hygiene und Asset-Management sind. Wenn Unternehmen diese Grundlagen bereitgestellt haben, bevor es zu einem Vorfall kommt, sind sie in einer viel besseren Position, um entweder Schaden zu verhindern oder die Auswirkungen zu minimieren.