Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Datenschutz | Impressum

IT&Production Newsletter abonnieren
Beitrag drucken

„Extrem kritische Bedrohungslage“

BSI warnt vor Schwachstelle in Java-Bibliothek Log4j

Das Bundesamt für Sicherheit in der Informationstechnik hat seine bestehende Cyber-Sicherheitswarnung für die Schwachstelle in der Java-Bibliothek Log4j auf Rot hochgestuft.

Bild: ©valerybrozhinsky/stock.adobe.com

Bild: ©valerybrozhinsky/stock.adobe.com

Die kritische Schwachstelle (Log4Shell) in der Java-Bibliothek Log4j führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage. Das BSI hat daher seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft. Ursächlich für diese Einschätzung sei die weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf weitere Produkte, so das BSI. Die Schwachstelle ist zudem trivial ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar.

Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems. Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet.

Auswirkungen auf weitere Produkte

Das Ausmaß der Bedrohungslage ist nach Einschätzung des BSI aktuell nicht abschließend feststellbar. Zwar gebe es für die betroffene Java-Bibliothek Log4j ein Sicherheits-Update, allerdings müssten alle Produkte, die Log4j verwenden, ebenfalls angepasst werden. Eine Java-Bibliothek ist ein Software-Modul, das zur Umsetzung einer bestimmten Funktionalität in weiteren Produkten verwendet wird. Es ist daher oftmals tief in der Architektur von Software-Produkten verankert. Welche Produkte verwundbar sind und für welche es bereits Updates gibt, ist derzeit nicht vollständig überschaubar und daher im Einzelfall zu prüfen. Das BSI erwartet, dass in den nächsten Tagen weitere Produkte als verwundbar erkannt werden.

Auch der Digitalverband Bitkom äußert sich besorgt: „Wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) Samstagnacht die Warnstufe Rot ausruft, dann ist die Bedrohungslage ernst, sehr ernst“, so Bitkom-Präsident Achim Berg. „Cyberkriminelle versuchen bereits aktiv, die Schwachstelle auszunutzen. Welt- und deutschlandweit erfolgen derzeit Massen-Scans sowie versuchte Kompromittierungen.“ Herstellerseitig müsse schnellstmöglich in Erfahrung gebracht werden, wo überall die Java-Bibliothek zum Einsatz kommt und die Sicherheitsupdates entsprechend ausgerollt werden, so Berg. Anwenderseitig gelte es, betroffene Systeme zu identifizieren, Abwehrmaßnahmen zu ergreifen und dafür den aktuellen Hinweisen des BSI zu folgen. „Gleichzeitig gilt es, alle verwundbaren Systeme auf eine Kompromittierung hin zu untersuchen, um auch weitere potenzielle Einfallstore zu schließen“, so Berg.

Empfehlungen des BSI

Das BSI empfiehlt insbesondere Unternehmen und Organisationen, die in der Cyber-Sicherheitswarnung skizzierten Abwehrmaßnahmen umzusetzen. Darüber hinaus sollten die Detektions- und Reaktionsfähigkeiten kurzfristig erhöht werden, um die eigenen Systeme angemessen überwachen zu können. Sobald Updates für einzelne Produkte verfügbar sind, empfiehlt das BSI diese einzuspielen. Darüber hinaus sollten alle Systeme, die verwundbar waren, auf eine Kompromittierung untersucht werden.

 

Datum:13. Dezember 2021

Autoren:Bundesamt für Sicherheit in der Informationstechnik

Themen: Märkte und Trends, News

Webseite: www.bsi.bund.de

Das könnte Sie auch interessieren:

Power wie 10.000 Laptops
Neuer Hochleistungsrechner am KIT in Betrieb

Ein neuer Supercomputer soll Forschende am Karlsruher Institut für Technologie dabei unterstützen, neue Materialien etwa für die Medizin- oder Energieforschung schneller zu entwickeln.‣ weiterlesen

xSuite-Umstieg auf Fiori abgeschlossen

Version 5.2.9 der xSuite Business Solutions steht für den Einsatz bereit. Die Workflows des SAP-basierten Produktportfolios sind jetzt komplett in SAP Fiori ausführbar und wurden für das neue SAP S/4Hana 2022 zertifiziert. Hersteller xSuite hat zudem sein Softwareangebot in neue Basis- und Premiumpakete umgeschnürt.‣ weiterlesen

Nachhaltigkeit im ERP-System abbilden
Von Krisen zu Kreisläufen

Mit dem Aufbau von Wirtschaftskreisläufen könnten Fertigungsunternehmen einige der akuten Herausforderungen wie Preissteigerungen und Ressourceneffizienz wirkungsvoll adressieren. Dazu müssen Firmen allerdings eine Reihe von Qualifikationen erlangen. Das ERP-System kann dafür den Rahmen bilden.‣ weiterlesen

Nachhaltigkeit im Berichtswesen
Reporting Tools für ESG-Management

Wie belegen Unternehmen die Ergebnisse ihrer ESG-Initiativen? Mit Auswertungen und Reports aus ihrer Unternehmenssoftware. Die Anwendung des ERP-Anbieters IFS Applications für solche Aufgaben heißt Sustainability Hub.‣ weiterlesen

Nachfolge von Reinhard Ploss
Jan Wörner übernimmt Co-Vorsitz der Plattform Lernende Systeme

Acatech-Präsident Jan Wörner wird Co-Vorsitzender der Plattform Lernende Systeme. Gemeinsam mit Bundesministerin Bettina Stark-Watzinger bildet er die neue Doppelspitze des KI-Netzwerks. Der scheidende Co-Vorsitzende Reinhard Ploss bleibt der Plattform verbunden.‣ weiterlesen

Alteryx erweitert Cloud Analytics-Plattform

Analysesoftware-Spezialist Alteryx hat sein Produkt Analytics Cloud Platform funktional erweitert. Die neu gestaltete Designer Cloud-Benutzeroberfläche ist jetzt mit mehr als 30 erweiterten Tools zur Vorbereitung, Zusammenführung, Analyse und Automatisierung verfügbar, schreibt der Anbieter in der Pressemitteilung zum Release.‣ weiterlesen

Green Manufacturing
Zielgröße Nachhaltigkeit

Integrieren Hersteller Technologien mit dem Prädikat 'Green Manufacturing', ist der Blick oft nur auf den unmittelbaren ökologischen und ökonomischen Nutzen gerichtet. Oft fehlt die Berechnung der Gesamtbilanz dieser Digitalisierungsmaßnahmen und der Weitblick in Sachen Nachhaltigkeit.‣ weiterlesen

Per Plattformansatz Aufwand reduzieren
Mit wenigen Klicks zum Use Case

Eigentlich soll der Low-Code-Ansatz vieles einfacher machen, wenn sich etwa Fachabteilungen ihre eigenen Anwendungen aufsetzen können. Doch in den IT-Abteilungen steigt dadurch der Aufwand für Support und Entwicklung. Eine zentrale Integrationsplattform kann diesem Effekt entgegenwirken.‣ weiterlesen

Datenextraktion aus Maschinenprogrammen
Maschinenintegration trotz Herstellervielfalt

Die Anbindung der Produktionsmaschinen an die IT-Systeme beeinflusst zunehmend die Effizienz und Flexibilität einer Fabrik. Die wohl höchste Hürde solcher Integrationen ist, den vielen verschiedenen Maschinen die gleiche Sprache beizubringen. Wer das plant, aber die Individualentwicklung dahinter scheut, sollte sich die Software MK|Connect ansehen.‣ weiterlesen

Fallstricke vermeiden
Zeiterfassung flexibel aufstellen

Seit dem Urteil des Bundesarbeitsgerichts vom 13. September 2022 ist die Arbeitszeiterfassung nun für Unternehmen verpflichtend. Lösungen zur elektronischen Zeiterfassung können dabei behilflich sein. Doch was gilt es bei der Systemauswahl zu beachten, um möglichst reibungslos ans Ziel zu kommen?‣ weiterlesen

Zutrittsmanagement für kritische Infrastrukturen
Sicherheitsrisiken aussperren

Zutrittsberechtigungen für Bereiche kritischer Infrastrukturen sind eine sensible Sache. Kurzfristige Berechtigungen müssen zunächst organisiert und langfristige Berechtigungen können zum Sicherheitsrisiko werden. Iseo adressiert dieses Problem mit der Data-on-Credentail-Technologie und verknüpft so Offline-Komponenten mit Online-Lösungen.‣ weiterlesen