BSI erhöht die Warnstufe auf ROT - Aktuelle Sicherheitslücke durch Java Protokollierungsbibiliothek "log4j"
Sehr geehrte Kundinnen und Kunden,
das BSI warnt derzeit vor einer Schwachstelle in der Protokollierungsbibliothek log4j.
Die besagte Protokolldatei wird bei vielen Java-Anwendungen eingesetzt, sodass das BSI die Warnstufe auf Rot erhöht hat.
Was kann passieren?
Die besagte Schwachstelle ermöglicht einem Hacker einen zum Angriff vorgesehenen Programmcode auszuführen und so den Server zu kompromittieren. Wie Sie den Medien und ersten Berichten entnehmen können, wird die Schwachstelle bereits aktuell aktiv ausgenutzt und hat schon in einigen Unternehmen großen Schaden angerichtet.
Wer ist betroffen?
Laut ersten Erkenntnissen sind alle Systeme betroffen, die über das Internet für einen Hacker erreichbar sind und Java-Anwendungen verwenden. Dahinter befindliche Systeme im z.B. internen Netzwerk werden dann zum Ziel, wenn ein Hacker es schafft, über die Systeme im Internet Zugriff zu erhalten.
Das Niederländische Cyber-Security-Zentrum (NCSC) hat eine Liste von Software publiziert, die regelmäßig erweitert und aktualisiert wird bezüglich des Standes bekannter Softwareanwendungen und der log4j Schwachstelle. Auch das BSI aktualisiert regelmäßig seine Informationen.
Was ist mit meiner Software-Lösung von Oracle?
Laut aktuellen Aussagen von Oracle sowie von EFSTA, sind Kunden mit den lokal laufenden Oracle-Produkten sowie dessen Schwesterprodukte in der Cloud nicht betroffen. Dies wurde im Oracle Security-Alters Newsletter vom 11.12.2021 bestätigt.
Was ist mit meiner Software-Lösung von EFSTA?
Laut offizieller Mitteilung von EFSTA am 15.12.2021 ist die Lösung von EFSTA nicht direkt betroffen, jedoch sind an EFSTA angebundene Produkte z.B. Cloud-TSE Anbieter und dessen Schnittstellen betroffen. EFSTA informiert dazu alle Kunden unter nachfolgendem Link: https://efsta.eu/de/news-allgemein-de/zeroday-exploit-fuer-java-logging-tool-log4j-2
Die von uns vertriebenen TSE-Lösungen von Epson und Fiskaly sind nach aktuellem Kenntnisstand nicht von der Sicherheitslücke betroffen!
Was ist zu tun?
- Identifizieren Sie die Systeme und Anwendungen, die betroffen sind anhand Ihrer Netzpläne und Softwareinventarisierung. (Zudem regelmäßig auf Updates beim BSI und NCSC prüfen.)
- Priorisieren Sie Ihre Anwendungen gemäß des Schutzbedarfes der Daten, die über das System erreichbar sind und der Positionierung im Netzplan.
- Führen Sie gemäß Ihres Patch-Konzeptes Ihre Prozesse für das Einspielen kritischer Sicherheitspatche durch.
Falls Sie für Verarbeitungen personenbezogener Daten Dienstleister nutzen und diese Ihnen über das Internet diese Dienste anbieten, prüfen Sie Ihren Dienstleister, in wieweit Ihre Verarbeitungen von dieser Schwachstelle betroffen sind.
Wenn Sie Dienstleistungen über das Internet für Ihre Kunden anbieten, ist mit Anfragen Ihrer Kunden zu rechnen, ob die Ihre Anwendung von der Schwachstelle betroffen ist.
Für weitere Rückfragen steht Ihnen unser Team gerne zur Verfügung.
Ihre
Martin Becker GmbH
Hotel-IT aus Leidenschaft
