Kritische Sicherheitslücke in der Java-Bibliothek Log4j – Welche Maßnahmen haben wir getroffen?

Update 17.11.2021

Proaktive Maßnahmen und neue luckycloud Version

Welche Folgen die Sicherheitslücke Log4j nach sich ziehen wird, können Experten noch schwer abschätzen. Noch immer ist die Lage unübersichtlich. Aber: luckycloud Kunden sind dennoch auf der sicheren Seite. Nach umfassendem Absichern unserer Systeme haben wir weitere präventive Maßnahmen ergriffen, um auch gegen künftig auftretende Sicherheitslücken gewappnet zu sein. So arbeitet unser Team aktuell an einer neue Version, die komplett ohne die als kritisch eingeordneten Komponenten auskommt. Sobald diese Version ausreichend getestet und freigegeben ist, stellen wir diese zur Verfügung und informieren unsere Kunden.

---

Mit diesem Blogbeitrag möchten wir Sie über getroffene Maßnahmen einer kritischen Sicherheitslücke in der Java-Bibliothek Log4j informieren.

Wir haben bereits am Wochenende in der Nacht vom 11.12.2021 direkt nach der Veröffentlichung der Sicherheitslücke durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) alle empfohlenen Maßnahmen ergriffen und unsere Systeme abgesichert. Darüber hinaus haben wir unsere Überwachungsmaßnahmen und Intrusion Detection Systeme speziell auf diese Sicherheitslücke angepasst, um mögliche Angriffe zu erkennen und zu verhindern. Zudem wurden alle Systeme von Sicherheitsexperten auf ihre Verwundbarkeit hin untersucht. Es besteht keinerlei Gefahr für unsere Systeme.

Sobald Updates für weitere Komponenten verfügbar sind, werden diese nach einer Prüfung eingespielt.

Nur ein System, mit dem luckycloud zusammenarbeitet, war indirekt von der Sicherheitslücke betroffen. Diese konnten wir sogleich bei Bekanntwerden erfolgreich schließen. Da das entsprechende System selbst nicht mit dem Internet verbunden ist, wäre ein Angriff laut Experteneinschätzung sehr unwahrscheinlich gewesen und uns liegen keine Hinweise darauf vor.

Wir setzen aus Überzeugung bei der Datenspeicherung auf das Zero-Knowledge-Prinzip. Das stellt sicher, dass die Daten unserer Kunden auch uns ausschließlich verschlüsselt vorliegen. Selbst im Falle eines Angriffs wären diese nicht lesbar, da sie nur unsere Kunden entschlüsseln können.

Wir sind Weiterhin im engen Austausch mit Partner-Systemen sowie Security-Experten und nehmen unsere Aufgabe zum Schutz unserer Kundendaten sehr ernst.

---

Was ist die Java-Bibliothek Log4j und welche kritische Sicherheitslücke wurde entdeckt?

Eine Java-Bibliothek ist ein Softwaremodul, das dazu dient, eine bestimmte Funktionalität in einer Software zu implementieren.

Das BSI stuft die Sicherheitslücke (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j als kritische Bedrohungsstufe ein. Das BSI hat daher eine Cybersecurity-Warnung der Stufe Rot herausgegeben. Grund für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Softwaremoduls und die damit verbundenen Auswirkungen auf zahlreiche andere Softwareprodukte.

Die Schwachstelle ist zudem bereits ausnutzbar und ein Proof-of-Concept ist öffentlich verfügbar. Wird die Schwachstelle erfolgreich ausgenutzt, kann das betroffene System übernommen werden. Nach Angaben des BSI sind weltweite Massenscans und Kompromittierungsversuche bekannt. Auch die ersten erfolgreichen Kompromittierungen werden bereits öffentlich gemeldet.

Das volle Ausmaß der Bedrohungslage für viele Unternehmen lässt sich nach Angaben des BSI derzeit noch nicht abschließend beurteilen. Es gibt jedoch ein Sicherheitsupdate für die betroffene Java-Bibliothek Log4j. Allerdings müssen alle Systeme, die Log4j nutzen, angepasst werden. Das BSI empfiehlt Unternehmen und Organisationen, insbesondere die in der Cybersecurity-Warnung genannten Abwehrmaßnahmen umzusetzen.

Eine BSI-Cybersicherheitswarnung mit Informationen und Maßnahmen zum Umgang mit der Sicherheitslücke finden Sie hier:
https://bsi.bund.de/dok/997080

Die neuesten Informationen werden laufend auf den BSI-Webseiten zur Verfügung gestellt:
https://bsi.bund.de/dok/log4j

Weitere Informationen:
https://bsi.bund.de/dok/997278