BSI warnt: Höchste Gefahr für IT-Systeme
Eine Schwachstelle (Log4Shell) in der weit verbreiteten Programmierumgebung Java führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage. Das BSI hat daher seine bestehende Cyber-Sicherheitswarnung auf die höchste Stufe (rot) gesetzt. Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts – die Java-Bibliothek Log4j – und die damit verbundenen Auswirkungen auf unzählige weitere Produkte.
Unternehmen der Logistikwirtschaft sollten schnell handeln und ihre IT-Systeme schützen. So hat bei Hapag-Lloyd nach Bekanntwerden der Schwachstelle „das Cyber-Security Team umgehend reagiert und die Systeme durch entsprechende Patches angepasst“, erklärt ein Sprecher der Reederei gegenüber der DVZ. „Darüber hinaus sehen wir zurzeit keine weiteren Auswirkungen auf unsere Systeme oder Versuche eines Eindringens über diese Schwachstelle. Wir bleiben alarmiert und werden die aktuellen Entwicklungen selbstverständlich weiterhin sehr genau im Blick behalten.“
Auch bei Dachser spielt IT-Sicherheit eine große Rolle. Man nehme die aktuelle Bedrohungslage sehr ernst, heißt es seitens des Dienstleisters. Das IT-Security-Team sei im Einsatz. Mehr wollte das Unternehmen zu diesem Zeitpunkt nicht äußern. Auf DVZ-Anfrage teilt der DSLV Bundesverband Spedition und Logistik mit, es handele sich zwar um ein schwerwiegendes Sicherheitsproblem, „aber es herrscht dadurch keine erhöhte Bedrohungslage für die Transport- und Logistikwirtschaft im Vergleich zu anderen Branchen“. Die betroffene Java-Komponente sei weit verbreitet, und daher müsse sich jedes Unternehmen mit den nun zu treffenden Abwehrmaßnahmen auseinandersetzen. Ebenso verweist der Bundesverband Güterkraftverkehr Logistik und Entsorgung (BGL) auf das BSI und Sicherheitshinweise von Microsoft.
Die Schwachstelle der Java-Komponente ist einfach ausnutzbar. Ein Scanprogramm (Proof-of-Concept, PoC), mit dem sich testen lässt, ob ein System anfällig ist, ist öffentlich verfügbar. Neben dem PoC existieren auch Beispiele für Skripte, die Systeme stichprobenartig auf Verwundbarkeit hin untersuchen. Wie das BSI mitteilt, können Skripte solcher Art zwar Administratoren keine Sicherheit über die Verwundbarkeit geben, aber erlauben Angreifern kurzfristig rudimentäre Scans nach verwundbaren Systemen. Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems, warnt das BSI. Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet.
Das ganze Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software-Produkten verankert. Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. Es ist zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden.
Das BSI empfiehlt insbesondere Unternehmen und Organisationen, die in der Cyber-Sicherheitswarnung skizzierten Abwehrmaßnahmen umzusetzen. Darüber hinaus sollten die Detektions- und Reaktionsfähigkeiten kurzfristig erhöht werden, um die eigenen Systeme angemessen überwachen zu können. Sobald Updates für einzelne Produkte verfügbar sind, sollten diese eingespielt werden. Darüber hinaus sollten danach alle Systeme auf eine Kompromittierung untersucht werden, die verwundbar waren. (rok)
