Aktuelles, Branche - geschrieben von dp am Dienstag, Dezember 14, 2021 10:42 - noch keine Kommentare
Angesichts der Log4Shell-Schwachstelle Aufruf zur Crowdsourced Security
Harmlose und normalerweise unangreifbare Funktion der Protokollierung droht zur Achillesferse des Internets zu werden
[datensicherheit.de, 14.12.2021] „Log4Shell“, eine kritische Zero-Day-Sicherheitslücke der weitverbreiteten „Java“-Logging-Bibliothek „Log4j“, beschäftigt aktuell die IT-Sicherheitswelt, denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu die höchste Warnstufe („Rot“) ausgerufen. IT-Sicherheitsexperten versuchen nun mit Hochdruck, ihre Systeme mithilfe der inzwischen bekannten Informationen und erster Updates abzusichern. Dieser über ein „Bug Bounty“-Programm aufgedeckte Softwarefehler sei bereits als „kritischste Sicherheitslücke des letzten Jahrzehnts“ eingestuft worden, denn diese Schwachstelle sei in einem Open-Source-Protokollierungstool aufgedeckt worden, welches in „Cloud“-Servern und Unternehmenssoftware allgegenwärtig sei, so Phil Leatham, „Senior Account Executive“ bei YesWeHack Deutschland, in seiner aktuellen Stellungnahme – darin ruft er gerade in diesen Zeiten zu mehr „Crowdsourced Security“ auf.
![yeswehack-phil-leatham](https://www.datensicherheit.de/wp-content/uploads/yeswehack-phil-leatham-600.jpg)
Foto: privat
Phil Leatham: Das größte Risiko kann auch von Komponenten ausgehen, bei denen man dies am wenigsten erwartet…
Schwachstelle Log4Shell erinnert daran, dass moderne Computersysteme aus Tausenden Komponenten bestehen
„Die Schwachstelle ,Log4Shell‘ erinnert uns daran, dass jedes moderne Computersystem aus Hunderten und Tausenden von Komponenten besteht. Das größte Risiko kann dabei auch von denjenigen Komponenten ausgehen, bei denen man dies am wenigsten erwartet hätte. Unabhängig davon, ob es sich um Open-Source- oder Closed-Source-Software handelt“, erläutert Leatham.
In diesem speziellen Fall erweise sich ausgerechnet eine Komponente, die von fast allen Systemen – oft ohne es zu wissen – für eine so harmlose und normalerweise „unangreifbare“ Funktion wie die Protokollierung verwendet werde, als „Achillesferse des Internets“.
Schnelle Mobilisierung der Sicherheitsgemeinschaft, um katastrophalen Auswirkungen der Schwachstelle zu begegnen
Doch wieder einmal habe die schnelle Mobilisierung der Sicherheitsgemeinschaft, um betroffene Systeme zu identifizieren und Lösungen zu finden, „uns in die glückliche Lage versetzt, die potenziell katastrophalen Auswirkungen einer solchen Schwachstelle zu verringern“.
Um das erneute Auftreten ähnlicher Risiken zu verhindern, wird es laut Leatham „immer notwendiger, diese Gemeinschaft und insbesondere die Community der ethischen Hacker stärker zu nutzen“. Dies könne Unternehmen dabei helfen, ihre Sicherheitsgrenzen zu schützen und, was noch wichtiger sei, „ihr Netzwerk in Echtzeit zu überwachen“. So könnten sie eventuelle Korrekturen vornehmen, „bevor ein böswilliger Akteur davon profitiert“.
Weitere Informationen zum Thema:
Bundesamt für Sicherheit in der Informationstechnik
Kritische Schwachstelle in Java-Bibliothek log4j
datensicherheit.de, 14.12.2021
Schwachstelle in Log4j: Hohes Risiko des Missbrauchs bereits angegriffener Systeme / Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind
datensicherheit.de, 13.12.2021
Log4Shell: Bitkom zur Bedrohungslage durch neue Schwachstelle / Cyber-Kriminelle versuchen bereits aktiv, diese Schwachstelle auszunutzen
datensicherheit.de, 13.12.2021
Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts / Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j
Aktuelles, Experten, Veranstaltungen - Jul 27, 2024 0:58 - noch keine Kommentare
ULD-Sommerakademie 2024 in Kiel: Digitale Datenräume und Archive im Fokus
weitere Beiträge in Experten
- NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
Aktuelles, Branche, Veranstaltungen - Jul 27, 2024 0:46 - noch keine Kommentare
Schutz persönlicher Daten: SOPHOS lädt zu Web-Seminar mit der Ethischen Hackerin Rachel Tobac ein
weitere Beiträge in Branche
- Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren