Achtung: Bundesamt warnt vor massiver und gefährlicher IT-Sicherheitslücke „Log4j“
log4j ist ein Framework zum Loggen von Anwendungsmeldungen in Java. Innerhalb vieler Open-Source- und kommerzieller Softwareprodukte hat es sich über die Jahre zu einem De-facto-Standard entwickelt. log4j gilt als Vorreiter für andere Logging-Frameworks, auch in anderen Programmiersprachen.
Was bedeutet das im Klartext:
Aktuell versuchen Hacker aus aller Welt aus dem Internet erreichbare Systeme zu Scannen um die Schwachstelle aufzuspüren. Auch unsere Kunden und wir selbst werden von diesen Scans betroffen sein.
Die oben genannte Technologie setzt so gut wie jeder große Softwarehersteller in irgendeinem seiner Produkte ein: VMWare, Cisco, Unifi, SAP, und und und.
Wird die Schwachstelle gefunden, kann sie genutzt werden um uneingeschränkt Code auf dem Zielsystem auszuführen. Das bedeutet man kann mit dem System machen was auch immer man will. z.B. die komplette Kundendatenbank kopieren, Patente klauen oder Zugangsdaten ausspionieren z.B. zum Onlinebanking.
Das IT Sicherheitsteam der CosH ist seit Sonntag damit beschäftigt die Sicherheitslücke zu analysieren.
Das allerwichtigste ist, dass Sie und Ihre Kollegen Ruhe bewahren.
- Analyse der Sicherheitsprotokolle aus Firewall und Endpointsecurity
- Bei Verdacht oder Fund von Vorkommnissen kontaktieren wir Sie proaktiv per Telefon
- Wir besprechen telefonisch die nächsten Schritte
So können Sie über Ihren Hersteller checken ob Ihre Software Log4J einsetzt:
- Öffnen Sie Google
- Geben sie den folgenden CVE Code + den Namen Ihrer Software ein z.B.
- CVE-2021-44228 SAP
- Wenn der Hersteller schon Informationen zu der Lücke hat, werden Sie auf der Website etwas dazu finden.
- Folgen Sie den Informationen und beauftragen Sie die Installation von Updates für Ihre Software
- Sollten Sie keine Informationen finden, probieren Sie das gleiche am Folgetag
- Haben Sie nach 7 Tagen keine Informationen gefunden, sollten Sie Ihren Systemhersteller per Email kontaktieren und explizit nachfragen ob das Log4J Framework in Ihrer Software zum Einsatz kommt.
Hier einige Dinge die Sie vielleicht checken sollten:
ERP System, CRM System, Bankingsoftware, Zeiterfassungssoftware, Buchhaltungs- Lohnabrechnungssoftware, Dokumentenmanagementsoftware, Telefoniesoftware, Videochatsoftware