Unsere Software ist von der Sicherheitslücke nicht betroffen

Aber einmal kurz erklärt, worum es geht...
Die Sicherheitslücke betrifft die Programmiersprache Java, die in zahlreichen Web-Anwendungen und Apps zum Einsatz kommt. Konkret geht es um einen Baustein namens Log4j für die Protokollierung von Aktivitäten, beispielsweise auf Servern – Experten sprechen von einer Bibliothek. Programmierer können diese mit geringem Aufwand in ihre Software einbinden.
Aufgrund der Sicherheitslücke können Angreifer ihren eigenen Code auf Servern ausführen, die die betroffene Software einsetzen – und damit das System vollständig übernehmen. Ein Programm, das den Angriffsweg demonstriert, ist online verfügbar, Hacker können es mit geringem Aufwand für ihre eigenen Zwecke anpassen.

Was aber, wenn ich Software im Einsatz habe, welche betroffen ist?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das Risiko durch die Sicherheitslücke auf der sogenannten CVSS-Skala mit 10 ein, dem höchstmöglichen Wert - Warnstufe Rot! Die Detektion von betroffenen Systemen gestaltet sich momentan schwierig, da niemand einen vollen Überblick darüber besitzt, in welcher Software die Bibliothek Log4j überall zum Einsatz kommt. Dazu kommt, dass Log4j mehr als eine Sicherheitslücke ist. Es handelt sich um einen Programmierfehler, der hunderttausende weitere Lücken in Softwareprodukten und Geräten erzeugt.

Erste Handlungsempfehlungen:

Betroffene Stellen ausmachen
Abwehrmaßnahmen ergreifen
Hinweisen des BSI folgen
Alle verwundbaren Systeme auf eine Kompromittierung hin untersuchen
Potenzielle Einfallstore schließen
Detektions- und Reaktionsfähigkeiten erhöhen, um die eigenen Systeme überwachen zu können
Updates für einzelne Produkte einspielen, sobald diese verfügbar sind