Aktuelles, Branche - geschrieben von dp am Dienstag, Dezember 14, 2021 10:42 - noch keine Kommentare
Angesichts der Log4Shell-Schwachstelle Aufruf zur Crowdsourced Security
Harmlose und normalerweise unangreifbare Funktion der Protokollierung droht zur Achillesferse des Internets zu werden
[datensicherheit.de, 14.12.2021] „Log4Shell“, eine kritische Zero-Day-Sicherheitslücke der weitverbreiteten „Java“-Logging-Bibliothek „Log4j“, beschäftigt aktuell die IT-Sicherheitswelt, denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu die höchste Warnstufe („Rot“) ausgerufen. IT-Sicherheitsexperten versuchen nun mit Hochdruck, ihre Systeme mithilfe der inzwischen bekannten Informationen und erster Updates abzusichern. Dieser über ein „Bug Bounty“-Programm aufgedeckte Softwarefehler sei bereits als „kritischste Sicherheitslücke des letzten Jahrzehnts“ eingestuft worden, denn diese Schwachstelle sei in einem Open-Source-Protokollierungstool aufgedeckt worden, welches in „Cloud“-Servern und Unternehmenssoftware allgegenwärtig sei, so Phil Leatham, „Senior Account Executive“ bei YesWeHack Deutschland, in seiner aktuellen Stellungnahme – darin ruft er gerade in diesen Zeiten zu mehr „Crowdsourced Security“ auf.

Foto: privat
Phil Leatham: Das größte Risiko kann auch von Komponenten ausgehen, bei denen man dies am wenigsten erwartet…
Schwachstelle Log4Shell erinnert daran, dass moderne Computersysteme aus Tausenden Komponenten bestehen
„Die Schwachstelle ,Log4Shell‘ erinnert uns daran, dass jedes moderne Computersystem aus Hunderten und Tausenden von Komponenten besteht. Das größte Risiko kann dabei auch von denjenigen Komponenten ausgehen, bei denen man dies am wenigsten erwartet hätte. Unabhängig davon, ob es sich um Open-Source- oder Closed-Source-Software handelt“, erläutert Leatham.
In diesem speziellen Fall erweise sich ausgerechnet eine Komponente, die von fast allen Systemen – oft ohne es zu wissen – für eine so harmlose und normalerweise „unangreifbare“ Funktion wie die Protokollierung verwendet werde, als „Achillesferse des Internets“.
Schnelle Mobilisierung der Sicherheitsgemeinschaft, um katastrophalen Auswirkungen der Schwachstelle zu begegnen
Doch wieder einmal habe die schnelle Mobilisierung der Sicherheitsgemeinschaft, um betroffene Systeme zu identifizieren und Lösungen zu finden, „uns in die glückliche Lage versetzt, die potenziell katastrophalen Auswirkungen einer solchen Schwachstelle zu verringern“.
Um das erneute Auftreten ähnlicher Risiken zu verhindern, wird es laut Leatham „immer notwendiger, diese Gemeinschaft und insbesondere die Community der ethischen Hacker stärker zu nutzen“. Dies könne Unternehmen dabei helfen, ihre Sicherheitsgrenzen zu schützen und, was noch wichtiger sei, „ihr Netzwerk in Echtzeit zu überwachen“. So könnten sie eventuelle Korrekturen vornehmen, „bevor ein böswilliger Akteur davon profitiert“.
Weitere Informationen zum Thema:
Bundesamt für Sicherheit in der Informationstechnik
Kritische Schwachstelle in Java-Bibliothek log4j
datensicherheit.de, 14.12.2021
Schwachstelle in Log4j: Hohes Risiko des Missbrauchs bereits angegriffener Systeme / Dr. Michael Littger warnt davor, dass noch viele Systeme mangels Update diese Schwachstelle aufweisen und somit ungeschützt vor Angriffen sind
datensicherheit.de, 13.12.2021
Log4Shell: Bitkom zur Bedrohungslage durch neue Schwachstelle / Cyber-Kriminelle versuchen bereits aktiv, diese Schwachstelle auszunutzen
datensicherheit.de, 13.12.2021
Apache Log4j mutmaßlich größte und kritischste IT-Schwachstelle des letzten Jahrzehnts / Auch Tenable-CEO Amit Yoran warnt eindringlich vor Schwachstelle in Apache Log4j
Aktuelles, Branche, Gastbeiträge - Feb. 13, 2025 13:16 - noch keine Kommentare
Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen
weitere Beiträge in Experten
- Verbraucherzentrale NRW warnt: Betrügerische E-Mails immer schwerer zu durchschauen
- Safer Internet Day 2025: Mythen zur E-Mail-Sicherheit auf dem Prüfstand
- Online-Marktplätze: Verbraucherzentrale Bundesverband (vzbv) fordert mehr Sorgfaltspflichten
- OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion
- Cyber-Nation: TeleTrusT veröffentlicht Forderungskatalog zur Umsetzung des Konzeptes
Aktuelles, Branche, Gastbeiträge - Feb. 13, 2025 13:16 - noch keine Kommentare
Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen
weitere Beiträge in Branche
- Sichere Authentifizierung: Thales präsentiert neue Lifecycle-Managementlösung für FIDO-Schlüssel
- OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt
- OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion
- KRITIS immer öfter im Visier Cyber-Krimineller
- Fake-Romance: Scams mit KI-gestützten Deepfake-Promis fordern Opfer
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren