Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: Die IT-Sicherheitslücke Log4Shell stellt insbesondere für Unternehmen eine große Gefahr dar. Dementsprechend groß war das Interesse beim digitalen After Work Talk von „it-sa 365“. Rund 150 Teilnehmerinnen und Teilnehmer ließen sich von den IT-Experten Michael Gisevius und Cristian Avram im Rahmen eines Vortrags aus der Reihe „it-sa insights“ zu diesem brennenden Thema informieren und beraten. Die Aufzeichnung der Präsentation mit anschließender Fragerunde ist weiterhin auf it-sa 365 verfügbar.
Herr Avram, wofür steht Log4Shell?
Log4Shell bezeichnet eine Schwachstelle, die im Dezember letzten Jahres identifiziert wurde. Log4j ist ein Open-Source-Framework. Überall dort, wo die Anwender und Entwickler diese Java-Bibliothek verwenden, ist die Schwachstelle gegeben. Die Türen in die IT stehen potenziell erst einmal offen!
Wie sehen die Angriffe der Hacker aus?
Hacker nutzen die Schwachstelle bereits vielfältig aus. Wir haben beispielsweise Ransomware-Angriffe oder versuchte Implementationen von Kryptominern beobachtet. Viele Hacker haben sich vermutlich schon eingeschlichen oder liegen im Netz der Opferunternehmen auf der Lauer. In den kommenden Monaten finden daher sicherlich noch viele weiterer Angriffe statt. Einige werden bemerkt werden, andere nicht.
Wie kann man sich schützen?
Aktuell kann man zunächst die Schwachstelle updaten, wenn man sie in seiner IT lokalisiert hat. Darüber hinaus sollten Administratoren ihre Systeme in der nächsten Zeit besonders aufmerksam beobachten. Denn Angreifer werden durch die Lücke schon eingedrungen sein.
Wie gut oder wodurch hätten Betroffene sich schützen können?
Viele wissen gar nicht, wo sich Log4j in ihrer IT-Infrastruktur versteckt. Der Grundstein für eine erfolgreiche Abwehr sollten Unternehmen daher eigentlich schon vorher legen: Sie sollten einen klaren Überblick ihrer IT-Infrastruktur und eine transparente, idealerweise vollständige Übersicht über ihren Softwarebestand haben. Organisationen, die eine solche IT-Inventur gemacht und weiter gepflegt haben, sind bei der Abwehr bereits einen Schritt weiter. Denn sie wissen sofort, wo Sie ansetzen müssen, um das Problem zu lösen.
Noch besser sind Organisationen aufgestellt, die von Beginn an auf eine Zero-Trust-Architektur gesetzt haben. So sind beispielsweise von Webservern ausgehende LDAP-Anfragen zurzeit das Mittel der Wahl, die Schwachstelle auszunutzen. Wäre Zero Trust in Kraft, würden diese Versuche von Beginn an unterbunden.
Schließlich sollten die IT-Verantwortlichen auf eine sogenannte Defense-in-Depth-Architektur setzen, eine mehrfach gestaffelte Abwehr. Den besten Schutz bietet immer noch eine Prävention, die aktuelle Detection- und Response-Technologien fortführen.
Die Daten der Bitdefender-Telemetrie, also die Informationen der installierten Bitdefender-Systeme, zeigen uns ganz konkret, welche Module einer gestaffelten Abwehr aktiv dazu beitragen, diese Angriffe zu blockieren. Dazu gehören der Schutz des Netzwerkes durch Überprüfen der URL/IP-Reputation oder die Analyse von verdächtigem Prozessverhalten, etwa von Fileless Malware und Attacken, die die Angreifer fahren. Ebenso wichtig bleibt das Erkennen bekannter und das Entdecken unbekannter Malware Payloads durch Antimalware Engines – letzteres basierend auf heuristischer Verhaltensanalyse.
Mit Sicherheitslücken ist es doch ähnlich wie bei der Hydra aus der griechischen Mythologie: Schließt man eine Lücke, öffnen sich zwei neue, oder?
Der Vergleich hinkt etwas, da Sicherheitslücken sich nicht wie die abgeschlagenen Köpfe der Hydra unmittelbar gegenseitig bedingen. Neu entdeckte Lücken resultieren nicht notwendigerweise aus einer zuvor entdeckten. Fast jede Software verfügt über solche Schwachstellen. Viele beheben die Entwickler früh – noch bevor die Software zum Einsatz kommt. Viele bleiben aber über einen langen Zeitraum nicht entdeckt: wie bei Log4Shell, so dass sich der betroffene Open-Source-Programmcode weit verbreiten konnte, bevor die Schwachstelle bekannt war.
Vielleicht passt daher ein anderes Bild besser: Mit dem Erkennen neuer Schwachstellen verhält es sich so, wie mit einem Weltraumteleskop. Je weiter es sieht und je besser der Betrachter den Raum betrachten kann, umso mehr Sterne sieht er. In der Cyber-Sicherheit verhält es sich ähnlich: Je weiter sich die Analyse-Technologien verbessern, umso mehr Schwachstellen werden identifiziert.
Autor: Reinhold Gebhart