Vor einigen Tagen wurde eine schwerwiegende und einfach nutzbare Sicherheitslücke in einer weit verbreiteten Softare-Bibliothek „log4j“ bekannt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die höchste Warnstufe (rot) ausgegeben. Es bestehen bereits Hinweise, dass die Sicherheitslücke aktiv genutzt wird.
log4j wird von vielen Java-basierten Softwareprodukten für z. B. Webseiten, Webportalen, Content-Management-Systeme und APIs genutzt. Betroffen sind diverse Linux-Distributionen und Produkte bekannter Hersteller, beispielsweise VMWare, Apache, Atlassian, Sophos oder Unifi.
Erste (unvollständige) Listen der betroffenen Produkte sind z. B. hier zu finden:
Link zur Liste der betroffenen Produkte
Link zur Liste der betroffenen Produkte
Angreifbar sind Systeme, die über das Internet direkt erreichbar sind, aber auch nur intern erreichbare Systeme, die über verbundene Systeme kompromittiert werden könnten.
Aktuelle Informationen und Maßnahmenempfehlungen des BSI sind hier nachzulesen:
Link zu Informationen und Maßnahmenempfehlungen des BSI
Erforderliche Maßnahmen:
- Sofortige Überprüfung, welche eigenen oder bei Cloud-/Drittanbietern angemieteten IT-Systeme oder IT-Dienste betroffen sind
- Sofortige technische Überprüfung aller in Frage kommenden IT-Systeme (bei angemieteten IT-Systemen oder Clouddiensten, dokumentierte Nachfrage bei dem jeweiligen Anbieter
- Anwendung der Handlungsempfehlungen des BSI (Link siehe oben)
Es ist unbedingt zu beachten, dass die Kompromittierung von IT-Systemen (inklusive angemieteter IT-Systeme) einen bei der Aufsichtsbehörde meldepflichtigen Datenschutzvorfall darstellen kann.
Bildquellen:
- Thomas Rosin: Thomas Rosin