Kritische Sicherheitslücke in der Java-Bibliothek Log4j – Welche Maßnahmen haben wir getroffen?

luckycloud log4j Sicherheitslücke geschlossen

Update 17.11.2021

Proaktive Maßnahmen und neue luckycloud Version

Welche Folgen die Sicherheitslücke Log4j nach sich ziehen wird, können Experten noch schwer abschätzen. Noch immer ist die Lage unübersichtlich. Aber: luckycloud Kunden sind dennoch auf der sicheren Seite. Nach umfassendem Absichern unserer Systeme haben wir weitere präventive Maßnahmen ergriffen, um auch gegen künftig auftretende Sicherheitslücken gewappnet zu sein. So arbeitet unser Team aktuell an einer neue Version, die komplett ohne die als kritisch eingeordneten Komponenten auskommt. Sobald diese Version ausreichend getestet und freigegeben ist, stellen wir diese zur Verfügung und informieren unsere Kunden.

---

Mit diesem Blogbeitrag möchten wir Sie über getroffene Maßnahmen einer kritischen Sicherheitslücke in der Java-Bibliothek Log4j informieren.

Wir haben bereits am Wochenende in der Nacht vom 11.12.2021 direkt nach der Veröffentlichung der Sicherheitslücke durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) alle empfohlenen Maßnahmen ergriffen und unsere Systeme abgesichert. Darüber hinaus haben wir unsere Überwachungsmaßnahmen und Intrusion Detection Systeme speziell auf diese Sicherheitslücke angepasst, um mögliche Angriffe zu erkennen und zu verhindern. Zudem wurden alle Systeme von Sicherheitsexperten auf ihre Verwundbarkeit hin untersucht. Es besteht keinerlei Gefahr für unsere Systeme.

Sobald Updates für weitere Komponenten verfügbar sind, werden diese nach einer Prüfung eingespielt.

Nur ein System, mit dem luckycloud zusammenarbeitet, war indirekt von der Sicherheitslücke betroffen. Diese konnten wir sogleich bei Bekanntwerden erfolgreich schließen. Da das entsprechende System selbst nicht mit dem Internet verbunden ist, wäre ein Angriff laut Experteneinschätzung sehr unwahrscheinlich gewesen und uns liegen keine Hinweise darauf vor.

Wir setzen aus Überzeugung bei der Datenspeicherung auf das Zero-Knowledge-Prinzip. Das stellt sicher, dass die Daten unserer Kunden auch uns ausschließlich verschlüsselt vorliegen. Selbst im Falle eines Angriffs wären diese nicht lesbar, da sie nur unsere Kunden entschlüsseln können.

Wir sind Weiterhin im engen Austausch mit Partner-Systemen sowie Security-Experten und nehmen unsere Aufgabe zum Schutz unserer Kundendaten sehr ernst.

---

Was ist die Java-Bibliothek Log4j und welche kritische Sicherheitslücke wurde entdeckt?

Eine Java-Bibliothek ist ein Softwaremodul, das dazu dient, eine bestimmte Funktionalität in einer Software zu implementieren.

Das BSI stuft die Sicherheitslücke (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j als kritische Bedrohungsstufe ein. Das BSI hat daher eine Cybersecurity-Warnung der Stufe Rot herausgegeben. Grund für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Softwaremoduls und die damit verbundenen Auswirkungen auf zahlreiche andere Softwareprodukte.

Die Schwachstelle ist zudem bereits ausnutzbar und ein Proof-of-Concept ist öffentlich verfügbar. Wird die Schwachstelle erfolgreich ausgenutzt, kann das betroffene System übernommen werden. Nach Angaben des BSI sind weltweite Massenscans und Kompromittierungsversuche bekannt. Auch die ersten erfolgreichen Kompromittierungen werden bereits öffentlich gemeldet.

Das volle Ausmaß der Bedrohungslage für viele Unternehmen lässt sich nach Angaben des BSI derzeit noch nicht abschließend beurteilen. Es gibt jedoch ein Sicherheitsupdate für die betroffene Java-Bibliothek Log4j. Allerdings müssen alle Systeme, die Log4j nutzen, angepasst werden. Das BSI empfiehlt Unternehmen und Organisationen, insbesondere die in der Cybersecurity-Warnung genannten Abwehrmaßnahmen umzusetzen.

Eine BSI-Cybersicherheitswarnung mit Informationen und Maßnahmen zum Umgang mit der Sicherheitslücke finden Sie hier:
https://bsi.bund.de/dok/997080

Die neuesten Informationen werden laufend auf den BSI-Webseiten zur Verfügung gestellt:
https://bsi.bund.de/dok/log4j

Weitere Informationen:
https://bsi.bund.de/dok/997278

Login Toggle Navigation
  • Login
  • Einzelnutzer
  • Produkte
    • luckycloud Team Sichere Public Cloud für kleinere Teams
    • luckycloud pro Business Sichere Business Cloud für größere
      Teams und Unternehmen
    • luckycloud pro Enterprise Sichere Enterprise Cloud mit
      individuellem Branding und Domain
    • luckycloud pro Hybrid Cloud Sicheres Backupkonzept aus
      Cloud Speicher und NAS Server
    • luckycloud Mail & Kalender Sichere E-Mail & Kalender,
      Adressbuch und Aufgaben
  • Preise
  • About
    • Datensicherheit Sicherheit, Datenschutz und DSGVO
    • Über uns Grundsätze von luckycloud
    • Referenzen Von zufriedenen luckycloud Kunden
    • Sicherheit Das macht luckycloud so sicher!
    • Blog Informationen und Neuigkeiten
    • Presse Presse über uns
  • Support
    • Knowledge Base Anleitungen und Informationen
    • Downloads Programme und Whitepaper
    • Kontakt Support kontaktieren
  • en
  • Login

Einloggen

Ihr Passwort anzeigen

Account erstellen

Passwort vergessen?

Einloggen

Passwort neu anfordern

14 Tage kostenlos
Enterprise
luckycloud S3

Erst 14 Tage testen.
Dann bezahlen!

Sichere Business Cloud Lösung für größere Teams

luckycloud pro Business

Sicherer Cloud Speicher für kleinere Teams

luckycloud Team

Sicherer Cloud Speicher für Einzelnutzer

luckycloud Home

Sicheres Email-Hosting

luckycloud Mail

Welche Produkte möchten Sie buchen?

Sichere Private Cloud mit Ihrem Branding

luckycloud pro Enterprise

Sichere Private Cloud mit Ihrem Branding & Zusatz-Features

luckycloud pro Enterprise Plus

Welche Produkte möchten Sie buchen?

Hochverfügbarer und skalierbarer Objektspeicher 100% in Deutschland gehostet

luckycloud S3

Wie möchten Sie luckycloud Mail nutzen

- mit unserer Domain --> maxmuster@luckymail.de

- mit eigener Domain --> maxmuster@ihre-domain.de

Bitte geben Sie Ihre E-Mail an

luckycloud arbeitet

luckycloud arbeitet

Bitte geben Sie die gewünschte Domain für Ihren Datenraum an (z.B. cloud.deine-domain.de)

Bitte geben Sie Ihren Firmennamen oder den Wunschnamen Ihres Datenraums an

Nun fehlt nur noch ein sicheres Passwort.

Kleiner Tipp: Kreative Sätze (ohne Leerzeichen) sind sicherer als komplizierter Buchstabensalat.

Passwort anzeigen
Passwort anzeigen

luckycloud arbeitet

luckycloud arbeitet

Der „nervige“ Teil: Bitte lesen Sie die AGB!

bitte bestätigen Sie, dass Sie mit unseren Vereinbarungen einverstanden sind



bitte bestätigen Sie, dass Sie mit unseren Vereinbarungen einverstanden sind
Erstelle ...

Erstelle ...



Kurze Pause, luckycloud ist bald wieder für Sie da!


wir führen gerade geplante Wartungsarbeiten und Erweiterungen an unserer Infrastruktur bis maximal zum 09.10.2021 - 10 Uhr durch.

Sollten Sie Fragen zu dem genauen Ablauf haben, oder Auskunft darüber möchten welche Einschränkungen sich für Sie persönlich ergeben, können Sie sich gerne an unseren technischen Support wenden.

E-Mail: support@luckycloud.de
Telefon: +49 30 814 570 920


Schließen
  • Impressum
  • AGB
  • Blog
  • Presse
  • Sicherheit
  • Zertifizierungen
  • Datenschutz
  • Whitepaper
  • About
  • Kontakt
  • Status
  • Hilfe Center
  • Verträge hier kündigen
Copyright luckycloud GmbH © 2023

Bitte erstellen Sie zunächst eine E-Mail Adresse

Bitte legen Sie zuerst eine Auto-Login E-Mail Adresse fest