Schwachstelle Log4j

Das Bundesamt für Sicherheit und Informationstechnik (BSI) warnt vor einer neuen Sicherheitslücke, die in der vielbenutzten Logging-Bibliothek „Log4j“ für die Java-Software entdeckt wurde. Log4j kann Ereignisse im Server-Betrieb, wie in einem Logbuch festhalten und ist so hilfreich für eine spätere Fehlerauswertung. Durch die Schwachstelle werden bestimmte Zeichenfolgen durchgewunken. Sie können Befehle enthalten, die dann auf dem Server ausgeführt werden. Das ermöglicht den Angreifern, Schadprogramme einzubinden und den Server aus der Ferne zu übernehmen. Im Extremfall könnte es reichen, die Zeichenkette in ein Chatfenster z.B. im Spiel „Minecraft“ einzugeben, um sich in den jeweiligen Server zu hacken. Das BSI setzte die Warnstufe bereits von Orange auf Rot hoch, nun gilt die IT-Sicherheitslage als extrem kritisch.

IGOS Kunden werden proaktiv auf Sicherheitslücken, viele auch vollautomatisch, geprüft. Bei dieser Gefahrenlage haben wir eine spezielle Prüfung vorgenommen um diese Schwachstelle aufzudecken. Kunden bei denen wir eine Sicherheitslücke ausfindig gemacht haben, wurden von uns bereits in Kenntnis gesetzt. In den meisten Fällen sind diese behoben oder werden von den Softwareherstellern geschlossen. Bis dahin begleiten wir unsere Kunden und haben mit diesen entsprechende Sicherheitsmaßnahmen getroffen um unbefugten den Zugriff zu verwehren.

Allen die nicht durch IGOS betreut sind, raten wir mit ihren IT-Spezialisten einen Plan auszuarbeiten um Sicherheitslücken aufzudecken, sowie Maßnahmen auszuarbeiten wie diese geschlossen werden. Gern stehen wir Ihnen ebenfalls bei der Ausarbeitung unterstützend mit Rat und Tat zur Seite.