Logo
Kritische Sicherheitslücke in weitverbreiteter Java-Logging-Bibliothek

Die IT-Welt erlebt gerade wieder ein Katastrophenszenario globalen Ausmaßes: Log4j ist eine weltweit beliebte Protokollierungsbibliothek für Java-Anwendungen. Sie dient der performanten Zusammenstellung von Protokolldaten einer Anwendung und wird daher gerne genutzt.

Seit Freitag letzter Woche ist jedoch klar: Log4j enthält eine hochriskante Schwachstelle – seit der Hochstufung durch das BSI in der höchstmöglichen Warnstufe 4 / ROT. Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.

Aus mehreren Quellen erreichten das BSI zwischenzeitlich zudem Benachrichtigungen über weltweite Massenscans und Kompromittierungen. Es gibt bereits Meldungen über erfolgreiche Kompromittierungen durch die Installation von Kryptominern, der Ausnutzung durch Botnetze und zuletzt Berichte, die auf das Nachladen von Pen-Testing-Software, die auch von Angreifern genutzt wird, um Angriffe auf IT-Netzwerke durchzuführen, hindeuten. Die Schwachstelle kann aber nicht nur zum Nachladen von weiterer Schadsoftware genutzt werden, sondern auch für die Offenlegung von vertraulichen Daten (z. B. API-Keys).

Die besondere Bedrohungslage ergibt sich dabei durch die vielfältige Verwendung der Programmierbibliothek in weit verbreiteter Standardsoftware auf der ganzen Welt. Schwachstellen in solchen Standard-Bestandteilen können große Löcher in die IT-Sicherheit Ihres Unternehmens reißen, die dann für Angreifer zum Einfallstor werden.

Vorfälle wie dieser zeigen einmal mehr, wie wichtig ein funktionierendes Informationssicherheitsmanagement, die fortwährende Analyse von Risiken und Schwachstellen und ein effektives Software- und Patchmanagement für die Unternehmenssicherheit sind, um angemessen auf akute Bedrohungen zu reagieren.

Aber wie löst man die Herausforderung, hier präventiv tätig zu werden und sich schon zuvor von Funktionsfähigkeit der eigenen Sicherheitsmaßnahmen zu überzeugen und mögliche Schwachstellen in der IT-Sicherheit frühzeitig zu identifizieren?

Im Rahmen eines Penetrationstests bzw. Schwachstellenscans besteht die Möglichkeit, die Sicherheit Ihres Systems aus der Sicht eines Angreifers zu testen und somit technische, prozessuale oder organisatorische Schwachstellen rechtzeitig vor einem Schadensfall zu erkennen.

Die s-consit als erfahrener Berater unterstützt Sie hierbei und führt Ihr Unternehmen mit Expertise und Best Practice-Lösungen durch das schwierige Fahrwasser – kommen Sie gerne auf uns zu und besprechen Sie die Möglichkeiten für eine Unterstützung.

Auch das IT-Management der s-consit hat unter Einbindung des internen Informationssicherheitsbeauftragten unmittelbar nach Bekanntwerden der Schwachstelle eine Systemüberprüfung vorgenommen und die erforderlichen Maßnahmen eingeleitet bzw. umgesetzt. Die Auswirkungen auf die Systeme und Daten der s-consit werden von unserem Informationssicherheitsbeauftragten mit einem sehr geringen Risiko eingestuft.

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html

Ihre Ansprechpartner

Referenzen
Referenzen

„Alle Kollegen empfanden die zweitägige Schulung zum Thema OSPlus Produktadministration als gut investierte Zeit. Mein persönlicher Eindruck wurde dadurch bestätigt. Erste Ideen, wie wir die neuen Ansätze zum Einsatz bringen können, sprudelten bereits kurze Zeit danach. Alle Kollegen – auch die, die meinten sie wären nicht so betroffen oder sie wüssten schon alles – haben bisher "Unbekanntes" als wertvolle Hilfestellung erkannt. Insbesondere das Stöbern im lebenden System war eine Hilfe.“

Gabriele Sarnow, stellvertretende Leiterin Interne Revision der Sparkasse Celle

Referenzen
Referenzen

„Seit über 10 Jahren haben wir die Bereiche Informationssicherheits-Management und Datenschutz an die s-consit ausgelagert. Insbesondere schätzen wir die problemlose Zusammenarbeit sowohl auf fachlicher als auch persönlicher Ebene. Die s-consit ist uns stets ein verlässlicher Partner!"

Joachim Dietmar Ziegler, Vorsitzender des Vorstandes der Sparkasse Parchim-Lübz

Referenzen
Referenzen

„Wir haben seit mehreren Jahren die Aufgabe des Informationssicherheitsbeauftragten an die s-consit ausgelagert und freuen uns über die stets reibungslose Zusammenarbeit. Zuverlässigkeit, Erreichbarkeit und hohe Fachkompetenz erleben wir im täglichen Umgang. Maßnahmen werden mit Augenmaß und partnerschaftlich umgesetzt. Weiter so!“

Jörg Winther, Leiter IT-Management der Sparkasse Münsterland Ost

Referenzen
Referenzen

„Die Strategieberatung wurde individuell auf unsere Bedürfnisse ausgerichtet und von den Mitarbeitern der s-consit professionell und zielorientiert umgesetzt. Die Strategieberatung der s-consit hat die zukünftigen Erfolge der Sparkasse somit aktiv beeinflusst.“

Horst Wanik, Vorsitzender des Vorstandes der Kreissparkasse Gelnhausen

Referenzen
Referenzen

„Unsere kurzfristige Anfrage auf Unterstützung im Bereich Rechnungswesen wurde unkompliziert umgesetzt. Der Einsatz der s-consit war eine absolut wertvolle und hilfreiche Unterstützung. Wir sind sehr zufrieden!“

Thomas Maus, Vorsitzender des Vorstandes der Kreissparkasse Schlüchtern

Referenzen
Referenzen

"Der Bericht zur DAW-Protokollauswertung durch die s-consit stellt für die Sparkasse einen enormen Mehrwert im Rahmen des IKS dar. Sie ist sehr übersichtlich gegliedert und konsolidiert die wesentlichsten Informationen aus den Tätigkeiten der Sparkassen Administratoren im Umfeld des 'Dezentralen Adminstrationswerkzeuges'. Die abgeleiteten Handlungsempfehlungen der s-consit aus der monatlichen Protokollauswertung unterstützen den IT-Verantwortlichen deutlich bei der Wahrnehmung seiner High-Level-Kontrollen. Das Preis-Leistungsverhältnis ist meines Erachtens nach top! Ich werde das Produkt der s-consit bei passender Gelegenheit weiterempfehlen.“

Andreas von Oesen, Leiter IT-Organisation der Weser-Elbe Sparkasse

Referenzen
Referenzen

„Unser Ziel bei der Beauftragung der s-consit war neben der Sicherstellung der Jahresabschlusserstellung auch die Gewährleistung der vollständigen Funktionsfähigkeit des Fachbereichs. Dieses wurde zu unserer vollsten Zufriedenheit erfüllt. Wir bedanken uns für die äußerst gute Zusammenarbeit!“

Michael Scholz, Mitglied des Vorstandes der Sparkasse Donauwörth

Referenzen
Referenzen

"Die REV-Tools unterstützen uns, sodass wir die Abläufe im Rechnungswesen effizienter gestalten können."

Stefan Müller, Leiter Betriebswirtschaft/Planung, Kreissparkasse Schlüchtern

Referenzen
Referenzen

"Das Quality Assessment der s-consit hat die strategische Ausrichtung meiner Revisionsprozesse zur Prüfungsplanung, Berichterstattung und Mängelverfolgung bestätigt. Besonders profitieren konnte ich von den Hinweisen zur Ausgestaltung der Organisationsrichtlinien für die Interne Revision, die praktischen Beispiele aus anderen Sparkassen waren dabei sehr wertvoll für die Weiterentwicklung unserer Revisionsfunktion."

Stephan Thörmer, Abteilungsleiter Interne Revision der Sparkasse Barnim