Für IT-Verantwortliche und IT-Sicherheitsbeauftragte wird sich das dritte Adventswochenende ins kollektive Gedächtnis einbrennen und vielen schlaflose Nächte bereitet haben. Zum Start des Wochenendes warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Warnstufe rot. Dies ist die höchstmögliche Alarmierung für extrem kritische IT-Bedrohungslagen, bei der viele Dienste ausfallen und der Regelbetrieb nicht aufrechterhalten werden kann.
Konkret geht es um eine kritische Sicherheitslücke in dem extrem weit verbreiteten Softwareschnipsel in Java „log4j“. Laut BSI wird von Angreifenden aktuell fieberhaft über das Internet nach verwundbaren Systemen gesucht, um diese zu kompromittieren. Ab Donnerstag, den 9. Dezember ging die Berichterstattung in der IT-Sicherheitsszene zu dem Thema los und es konnten Angriffsmuster bis zum 1. Dezember nachverfolgt werden.
Kritische Lage besonders für eCommerce
Die Schwachstelle vereint drei Eigenschaften, die sie zu einem Worst-Case machen: Sie ist weit verbreitet, lässt sich trivial ausnutzen und ermöglicht die vollständige Übernahme des betroffenen Systems. Als modularer Teil der Java-Software ist log4j tief in die Softwarestruktur vieler Anbieter eingebunden, meist ohne dass die Softwarekund*innen davon wissen. Sie dient als Java-Bibliothek der Protokollierung von App-Aktivitäten der Anwendenden und wird daher von Entwicklern*innen im Online-Bereich gerne verwendet. Durch die tiefgreifende Einbindung kann die Installation des Patches ungewollt weitreichende Folgen haben und zu Inkompatibilität und Softwarefehlern führen. Theoretisch betroffen sind nicht nur Dienste die direkt über das Internet erreichbar sind, sondern auch Anwendungen, die nur mittelbar mit Servern verbunden sind, die wiederum nach außen kommunizieren.
Gleichzeitig lässt sich diese Schwachstelle mit wenigen Code-Kommandos auch von Laien ausführen. Sobald die Kontrolle über das betroffene System erlangt wurde, ist jede Form der Ausnutzung denkbar. Erste Fälle von Krypto-Minern, also dem Ausnutzen fremder Rechenkapazität zum Schürfen von Kryptowährungen, und Bot-Netzen sind öffentlich bekannt geworden. Aber auch Datenmissbrauch oder Ransomware-Angriffe wären naheliegende Gefahren-Szenarien. Eine weitere Möglichkeit wäre zunächst unbemerkt eine Hintertür im kompromittierten System zu hinterlassen und diese zu einem späteren Zeitpunkt mit einem gezielten Angriff auszunutzen.
Neben insgesamt mindestens 140 betroffene Software-Herstellern, ist auch Apache betroffen. Apache ist als quelloffenes und freies Produkt einer der am meisten genutzte Webserver im ganzen Internet. Daher sind aktuell gerade Online-Systeme wie Shops gefährdet.
Schnelles und konkretes Handeln ist möglich und nötig
Das BSI rät potenziell betroffene, aber nicht zwingend benötige Systeme abzuschalten und die eigenen Netzwerke so zu segmentieren, dass potentiell verwundbare Systeme von allen anderen isoliert werden. Web-Application-Firewalls (WAF), Intrusion Prevention System (IPS) und Reverse Proxy Verbindungen sollten bei nicht abschaltbaren aber potentiell betroffene Systeme so konfiguriert werden, dass diese bekannten Angriffsmuster direkt abgewiesen werden. Es empfiehlt sich Netzwerkverbindungen auf ein Minimum zu reduzieren, möglichst viel und genau zu protokollieren und eine Anomalieerkennung zu betreiben.
Benötigen Sie Unterstützung?
Wenn Sie vermuten, dass Ihr Unternehmen von der log4j-Schwachstelle betroffen ist, können Sie sich jederzeit an unseren Security-Partner Prosec wenden. Wir stellen Ihnen gerne kurzfristig einen Kontakt zum richtigen Ansprechpartner her. Auf der Webseite von Prosec finden Sie zudem wertvolle Hinweise zu Gegenmaßnahmen sowie ein Video in dem die Funktionalität der Schwachstelle erklärt und über einen simulierten Angriff veranschaulicht wird.
Warum Cyber-Versicherung alternativlos ist
Die aktive Auseinandersetzung mit Cyber-Gefahren benötigt mehr Management-Attention. Die aktuelle Bedrohungslage zeigt, dass es keine hundertprozentige Sicherheit gibt. Es reicht nicht sich mit Firewalls und Virenschutz möglichst hohe Burgmauern zu bauen. Organisationen müssen sich verstärkt auch mit der Reaktion auf einen solchen Fall auseinandersetzen. Eine gute Cyber-Versicherung kann innerhalb einer ganzheitlichen IT-Sicherheitsstrategie Teil der Lösung sein.
Ähnlich wie eine Krankenversicherung nicht vor schweren Krankheiten schützt, kann leider auch die Cyber-Versicherungen solche Vorfälle nicht gänzlich verhindern. Aber sie kann unterstützen und mit erfahrener Expertise einen eintretenden Schaden effektiv begrenzen. Eine gute Cyber-Versicherung ersetzt den Schaden, der durch einen Cyber-Angriff entsteht. Das sind meist Kosten für das Krisenmanagement und die Aufklärung. Neben der IT-Forensik werden die Kosten für den Wiederaufbau des IT-Systems übernommen, sowie die in der Zeit entstandene Ertragsausfallschäden. Kam es zu einer Datenschutzverletzung wird der Vorfall mithilfe von Datenschutz-Anwälten an die zuständige Landesdatenschutzbehörde gemeldet und ggf. alle betroffenen Personen benachrichtigt. Ebenfalls versichert sind daraus resultierende Haftpflichtansprüche und die Unterstützung durch erfahrene PR-Beratung, um Reputationsschäden möglichst abzuwenden.
Sie sind noch nicht durch eine Cyber-Versicherung geschützt?
Hier geht es zum Vergleich um schnell und einfach ein maßgeschneidertes Angebot zu erhalten: Jetzt absichern!
Sie sind bereits versichert? Mit dem Abschluss Ihrer Cyber-Versicherung über CyberDirekt haben Sie alles richtig gemacht. Nehmen Sie die Situation trotzdem ernst und überprüfen Sie, ob Sie selbst log4j nutzen oder es in einem der Software-Produkte zum Einsatz kommt, dass sie aktuell nutzen. Eine Liste betroffener Hersteller finden Sie hier.