Log4Shell-Sicherheitslücke

Was IT-Dokumentationen mit IT-Sicherheit zu tun haben

20. Dezember 2021
Verfasst von Julia Schreiber

Log4Shell beruht auf einer Sicherheitslücke der Java-Bibliothek Log4J

Bild: © Fotis Fotopoulos - Unsplash.com

Wenn die 20-Uhr-Nachrichten über Sicherheitslücken berichten, ist die Lage ernst – für gewöhnlich sind IT-Probleme eher ein Thema der Fachmedien. Zuvor hatte das BSI die Warnstufe rot, die höchste Bedrohungslage, für die Schwachstelle Log4Shell ausgerufen. Die IT-Sicherheitslage gilt als kritisch, die Sicherheitslücke betrifft die weit verbreitete Java-Bibliothek Log4J – und damit unzählige Applikationen und Produkte.

Aktuell beobachtete Cyberangriffe: Krypto-Miner, Bot-Netze, DDos- und Ransomware-Angriffe – die Palette an Angriffsformen ist groß und wird in den kommenden Monaten weiter anwachsen. Der Bundesfinanzhof zählt mutmaßlich zu den ersten prominenten Opfern. Die Gefahr besteht zudem, dass Log4Shell ausgenutzt wird, um Hintertüren in Systeme einzubauen und diese erst Monate später zu aktivieren.

Handlungsempfehlungen zu Log4Shell

Die Herausforderung für Unternehmen ist jetzt (!) zu klären, welche Softwareprodukte in der Organisation eingesetzt werden – und zwar von jedem einzelnen Anwender und jeder einzelnen Anwenderin. Egal ob Buchhaltung, Marketing oder Vertrieb: von Geschäftsführung bis Praktikanten gilt es alle genutzten IT-Lösungen zu erfassen. Der nächste Schritt ist zu prüfen, ob diese von der Sicherheitslücke betroffen sind und welche Handlungsempfehlungen es seitens der Hersteller gibt. Das BSI führt hierzu mit der niederländischen Partnerbehörde eine entsprechende Liste zum Verwundbarkeitsstatus zahlreicher IT-Produkte – doch für weniger verbreitete oder selbst programmierte Produkte ist „Klinkenputzen“ angesagt. Also: Website des Herstellers auf Empfehlungen prüfen oder direkt dort anfragen.

IT-Dokumentation als vorbeugende Maßnahme

Der beschriebene Prozess klingt (und ist) aufwändig, ist aber in den Grundzügen wichtiger Bestandteil jeder IT-Dokumentation. Unternehmen mit aktuellen Dokumentationen und Notfallplänen können somit bei Sicherheitslücken wie Log4Shell strukturierter und schneller handeln. Denn sie wissen:

  1. welche Anwendungen in welcher Abteilung im Einsatz sind
  2. welche Geschäftsprozesse – und damit verbundene Anwendungen – unternehmenskritisch sind bzw. welche Applikationen im Umkehrschluss aus Sicherheitsgründen kurzfristig abgeschaltet werden könnten

Idealerweise enthält eine IT-Dokumentation nicht nur die Information, welche Systeme in welcher Version im Einsatz sind, sondern auch, wer im operativen Betrieb dafür verantwortlich ist. Eine solche Bestandsaufnahme hilft bei Sicherheitslücken wie Log4Shell ebenso wie bei der Beseitigung anderer Notfälle und Störungen. Softwaregestützt erfolgt dieser Inventarisierungsprozess automatisiert. Natürlich schützt eine solche Dokumentation dann nicht gegen Sicherheitslücken, sie beschleunigt aber die Reaktion darauf. Was lässt sich also aus Log4Shell für die Zukunft lernen? Auch für IT-Prozesse gilt: Vorsorge ist besser als Nachsorge.

 

Sie sind unsicher, wie gut Sie im Bereich der IT-Infrastruktur aufgestellt sind? Unsere IT-Infrastrukturanalyse prüft Ihre IT-Umgebung sorgfältig auf mögliche Risiken und erstellt konkrete Handlungsempfehlungen für einen störungsfreien und performanten Betrieb. Fragen Sie gleich unverbindlich eine IT-Infrastrukturanalyse für Ihre Organisation an.

 

 

Diese Website verwendet technisch notwendige Cookies. Statistische Angaben zu Websitezugriffen und die Verweildauer werden anonymisiert erfasst. Beim Klick auf die Schaltfläche wird ein Cookie gesetzt, das diesen Hinweis bei zukünftigen Besuchen ausblendet. Ihre Einwilligung können Sie jederzeit über die Datenschutzerklärung widerrufen. Diese enthält auch ausführliche Informationen zu den genannten Cookies. Impressum

OK