log4j: integrate-it hilft Firmen Schwachstellen zu erkennen

Aufgrund der kritischen Schwachstelle in der gängigen Java-Bibliothek Log4j ruft das BSI eine „extrem kritische“ Bedrohungslage aus. Vermutlich sind neben Firmen auch Mitarbeiter im Homeoffice und Privatanwender betroffen.

Was ist Log4j? Log4j ist eine häufig verwendete Bibliothek für die Protokollierung von Anwendungsmeldungen in Java. Das Problem ist, dass diese Komponente als de-facto-Standard in extrem vielen Java-Anwendungen eingesetzt wird. Die Sicherheitslücke, die jüngst entdeckt wurde, erlaubt es einem Angreifer beliebigen Code bereits mit einer Abfrage aus dem Hostsystem auszuführen. Damit könnten Ransomware-Angriffe verübt werden, aber auch bspw. sogenannte Krypto-Miner installiert werden, die z. B. Bitcoins „schürfen“.

Ein genauer Überblick, wo Log4j zum Einsatz kommt und welche Firmen und Internetdienste betroffen sind, wird derzeit z. B. bei Github zusammengetragen (Liste). Einen vollständigen Katalog zu erstellen, ist aber vermutlich nicht möglich. Teilweise kann die Verwendung von Log4j aus einem Software-Inventory oder einer CMDB ausgelesen werden. Aber das allein gibt leider nicht genügend Sicherheit. Häufig wird die Komponente als Teil einer größeren Applikation ausgeliefert und damit gar nicht als eigenes Paket angezeigt. Das BSI rät daher bereits dazu, nicht notwendige Systeme abzuschalten. 

Doch was hilft gegen die Sicherheitslücke bei Log4j? Derzeit hilft nur ein Vulnerability Scan über alle Systeme, bei dem neben Log4j-Lücken auch alle anderen bekannten Sicherheitslücken erkannt werden. Ein derartiger Scan ist im Moment das einzige Mittel, um das Risiko zu begrenzen. 

Optimalerweise werden solche Scans regelmäßig durchgeführt, um Systeme mit Lücken, aber auch „vergessene“ Systeme u. a. zu identifizieren. Als integrate-it bieten wir diese Scans als Add-on zu unseren Managed Security Paketen an. Angesichts der aktuellen Bedrohungslage stellen wir jedoch Unternehmen ab sofort bis Jahresende 2021 auch den reinen Scan als Service bereit.

Abgerechnet wird nach Anzahl der aktiven IPs, die gescannt wurden. Die Kosten sind davon unabhängig, ob nur einen Scan durchgeführt wird oder bis zum Jahresende noch weitere Scans angestoßen werden. Zu Ende Dezember kann jeder Kunde entscheiden, ob die Scans wieder deaktiviert werden oder in Zukunft regelmäßig, als Managed Service weiterlaufen sollen.

Wir setzen bei der Technologie auf unserer Partner Greenbone Networks, eine Ausgründung des BSI, die den höchsten Sicherheitsstandards folgt und streng nach DSGVO arbeitet. Für Log4j hat Greenbone schon früh spezielle Suchfilter bereitgestellt, um Systeme schnell nur auf diese Lücke zu scannen. So können Kunden, die dieses Angebot bereits als Managed Service nutzen, zügig feststellen, ob sie betroffen sind und wo gepatcht werden müsste.

Wenn Sie Hilfe benötigen bei der Einschätzung Ihrer Bedrohungslage, wenden Sie sich bitte umgehend an uns.

Weitere Informationen des BSI dazu:

BSI – Bundesamt für Sicherheit in der Informationstechnik – Version 1.4: Kritische Schwachstelle in log4j veröffentlicht