Auf der Arbeit

Helle Aufregung um log4j

Keine Ahnung, ob das Non-ITler:innen ĂŒberhaupt mitbekommen: derzeit ist die ganze IT-Welt in Aufregung, und das nicht wegen Corona, sondern wegen einer durchaus dramatischen SicherheitslĂŒcke in einer Java-Bibliothek namens log4j, die dazu dient, in Java-Programmen das Logging (= Protokollierung von Ereignissen zur Nachvollziehbarkeit) umzusetzen.

Warum ist das so kritisch?

Die Verwendung von log4j ist de facto Standard im Java-Umfeld, wird also dementsprechend sehr, sehr weitreichend eingesetzt. Dazu kommt, dass das Ausnutzen der Schwachstelle sehr simpel ist, dazu braucht es nicht viel. Stellen wie das BSI registrieren derzeit massiv viele Scans nach vulnerablen Systemen.

Zudem kann es sein, dass die Schwachstelle bereits vor dem allgemeinen Bekanntwerden ausgenutzt worden ist, Systeme also bereits kompromitiert sind (➡ Zero Day Exploit = keine Zeit zur Behebung vor Bekanntwerden). Zum Beispiel können dadurch Malware/ Ransomware/ VerschlĂŒsselungstrojaner eingeschleust worden sein.

Das BSI (Bundesamt fĂŒr Sicherheit in der Informationstechnik) hat den Incident in die höchste Bedrohungsstufe „rot“ eingeordnet.

Und so ist nun große Aufregung und Aktivismus angesagt.

Bei uns ebenfalls

Auch bei mir im Unternehmen wird natĂŒrlich darauf im großen Stil reagiert. Wir haben jede Menge Anwendungen, die potentiell gefĂ€hrdet sind und daher gepatcht werden mĂŒssen. Unsere Eigenentwicklungen aktualisieren wir natĂŒrlich selbst. Bei Fremd-Software muss mit dem Hersteller abgeklĂ€rt werden, ob die Software betroffen ist. Falls ja, mĂŒssen bereitgestellte Updates eingespielt werden. Bei Systemen, fĂŒr die noch kein Fix vorliegt, mĂŒssen mitigierende Maßnahmen umgesetzt werden. Und das alles so zeitnah wie irgendmöglich.

Bis vor kurzem hieß es, die log4j-Version 2.15 sei sicher, also haben wir diese eingespielt. Nun ist herausgekommen, dass es auch dort noch LĂŒcken gibt, daher muss jetzt auf 2.16 gepatcht werden. So erhĂ€lt manche Anwendung nun innerhalb von 1,2 Tagen bereits den 2. Emergency-Fix.

Das alles fĂŒhrt zu erheblichen AufwĂ€nden in unserer IT, außerdem können aus ZeitgrĂŒnden nicht alle Anwendungen außerhalb der Arbeitszeit aktualisiert werden, so daß wir auch stellenweise Unterbrechungen verursachen. Und, last but not least, steht Weihnachten und damit Urlaubszeit vor der TĂŒr. Aber die Problematik wird nicht in den kommenden 4 Tagen erledigt sein. Das bedeutet, wir mĂŒssen in machen Bereichen Notfall-EinsatzplĂ€ne aufstellen, falls sehr rasch erneut reagiert werden muß.

Was ist mit Otto-Normal-Userin?

Hier ist es wichtig, alle verfĂŒgbaren Updates einzuspielen. Sowohl auf PCs als auch Handys, Smart-TVs etc. pp. Was alles betroffen ist, kann ich auch nicht sagen. FĂŒr Keepass, iobroker, und auch Fritzboxen habe ich abgeklĂ€rt, dass sie nicht betroffen sind.

Mehr Infos