Cyber Security Data Protection Business Privacy concept. Schlagwort(e): security, secure, cyber, data, protection, protect, network, information, privacy, internet, concept, technology, computer, background, digital, safety, web, safe, system, crime, business, screen, password, online, encryption, software, policy, confidential, attack, defense, fraud, secured, email, private, encrypt, server, confidentiality, icon, lock, padlock, management, identity, cyberspace, hacker, access, virus, keyhole, symbol, sign, illustration, security, secure, cyber, data, protection, protect, network, information, privacy, internet, concept, technology, computer, background, digital, safety, web, safe, system, crime, business, screen, password, online, encryption, software, policy, confidential, attack, defense, fraud, secured, email, private, encrypt, server, confidentiality, icon, lock, padlock, management, identity, cyberspace, hacker, access, virus, keyhole, symbol, sign, illustration
Sikov - stock.adobe.com

Warnstufe Rot

Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage.

Das BSI hat seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft. Hauptgrund für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte.

Die Schwachstelle ist zudem trivial ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar. Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems. Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet.

Zwar gibt es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssen alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software-Produkten verankert. Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. Es ist zu erwarten, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden.

Was können Sie tun:

Prüfen Sie dringend, ob in Ihrem Unternehmen Anwendungen, die auf Java basieren, eingesetzt werden und somit potentiell betroffen sind. Setzen Sie sich mit Ihrem IT-Dienstleister in Verbindung und spielen Sie die notwendigen Sicherheits-Updates ein. Jedes Unternehmen, welches Java-Bibliotheken in seiner Software nutzt, muss aktuell von einer potentiellen Kompromittierung ausgehen.