Ein Artikel von Ole Sieverding, Geschäftsführer von CyberDirekt
Vor etwa einem Monat, am dritten Adventswochenende, stand die IT-Security-Welt scheinbar für einen Augenblick still. Am 09.12.2021 wurde eine Schwachstelle mit dem höchstmöglichen Schweregrad (CVSS 10.0) veröffentlicht. Die weltweite IT-Sicherheitsszene überschlug sich daraufhin mit apokalyptischen Einordnungen der Situation als noch nie dagewesene schlimmste Sicherheitslücke. Die Rede ist von Log4Shell (CVE-44228), eine sehr leicht ausführbare Schwachstelle in einem Software-Schnipsel zur Protokollierung in Java-Bibliotheken, die die komplette Übernahme des betroffenen Systems erlaubt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte im Dezember sehr schnell und eindringlich mit der Warnstufe „Rot“ die deutsche Öffentlichkeit und berichtete von weltweiten Massen-Scans und Kompromittierungsversuchen.
Unter anderem der Bundesfinanzhof und das Land Schleswig-Holstein sahen sich nach konkreten Hacking-Angriffen gezwungen, ihre Webseiten temporär abzuschalten.
Die US-Security-Behörde CISA startet eine Warnung mit einer Entwarnung
Dann kehrte Ruhe ein. Viele Experten warnten eindringlich vor einer Schadenwelle über Weihnachten und Neujahr. Es wurde erwartet, dass bisher unentdeckt eingerichtete Hintertüren in den Systemen von den Angreifenden über die Ruhe der Festtage ausgenutzt würden. Am 12.01.2022 gab das BSI dann Entwarnung und stufte die Warnstufe auf „Gelb“ herunter. Patches wären inzwischen in der Breite veröffentlicht, eine große Schadenwelle blieb vorerst aus und die Bedrohungslage entspannte sich erst einmal.
Jen Easterly, Direktorin der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) als Pendant zum deutschen BSI berichtete, dass bisher keine Bundesbehörden durch Log4Shell kompromittiert sowie keine kritischen Sicherheitsvorfälle im Zusammenhang mit der Schwachstelle von US-Unternehmen an ihre Behörde gemeldet worden seien. Diese Lagebeschreibung deckt sich auch mit dem aktuellen Kenntnisstand der Vergleichsplattform CyberDirekt in Bezug auf die Cyberversicherung in Deutschland.
Es gab bisher ein paar Verdachtsmeldungen, aber noch keine kritischen Schadenfälle im direkten Zusammenhang mit Log4Shell. Dies unterscheidet sich deutlich von der Situation im März 2021, als durch massenhafte Kompromittierungen einer Microsoft-Exchange-Schwachstelle durch die Hacking-Organisation Hafnium bei einigen Cyberversicherern eine bis dahin ungekannt hohe Zahl an Schadenmeldungen innerhalb kurzer Zeit eingingen.
Fazit ist, die Gefahr von Log4j ist noch nicht gebannt und schwelt aktuell noch mit unklarem Ende. Das BSI empfiehlt daher weiterhin die Aufrechterhaltung einer verstärkten Beobachtung von Auffälligkeiten im eigenen IT-System auch nach der Überprüfung auf aktuelle Schwachstellen und dem Einspielen von Sicherheitspatches.
Seite 1 Log4j: Bestandsaufnahme und Folgen für Versicherungsbranche
Seite 2 Bedeutung für die Versicherungsbranche
- Anmelden, um Kommentare verfassen zu können