Springe zum Inhalt

SoftEd Blog

In unserem SoftEd-Blog informieren wir Sie regelmäßig zu neuen Themen der Branche und Aktuellem aus Gesellschaft und Leben.

Blog abonnieren
Log4j kennt kein Weihnachten 1
| | Aktuelles, IT-Security

Log4j kennt kein Weihnachten

„Eine kritische Sicherheitslücke in der Java Bibliothek Log4j“ – fast jeder hat davon gehört und viele Unternehmen fragen sich: Ist das ein Thema für uns und was würde denn passieren, wenn wir betroffen sind? Oft ist es so, dass wir die Bedrohung erst dann wirklich ernst nehmen, wenn wir sie direkt spüren. Diesmal ist es anders. Was Sie jetzt wissen müssen und wie Sie Ihre Systeme härten – Unsere Systemingenieure haben die wichtigsten Informationen für Sie zusammengestellt. 

Was ist Log4j und worin besteht das Sicherheitsproblem? 

Log4j ist ein Java-basiertes Framework beziehungsweise eine Bibliothek, die in vielen System- und Softwareprodukten zum Einsatz kommt. Log4j übernimmt im Prozess des Loggings eine Art „Vermittlerrolle“ und filtert eingehende Meldungen und Nachrichten. Die aufgedeckte Sicherheitslücke bedient sich dieser Bibliothek, indem ein potenzieller Angreifer einen bestimmten Zeichensatz an das System übergibt (http request) und die log4j-Bibliothek diesen als Schadcode weitergibt oder ausführt (remote execution). Aktuelle Liste mit betroffenen Anwendungen.

Wie schützen Sie Ihr Unternehmen und Ihre Systeme? 

Damit Sie sich nicht durch den Informationsdschungel kämpfen müssen, haben wir für Sie einige wichtige Informationen zusammengetragen. 

Das Wichtigste zuerst: 

  • Ermitteln Sie, ob und welche Versionen von Log4j Bibliotheken im Einsatz sind. Dazu können Sie Tools wie LunaSec nutzen LunaSec 
  • Aktualisieren Sie alle vorhandenen Log4j Pakete, die älter als Version 2.15 sind. Hier sind natürlich die Hersteller gefragt. Eine Liste der Hersteller mit bekanntem Patch gibt es hier…  
  • Azure DevOps Server ist betroffen – hier gibt’s die Anleitung zum Hotfix
  • Und noch einmal der Tipp: Denken Sie an regelmäßige Updates!  
Log4j kennt kein Weihnachten 2
Auszug des Log4Shell unter Windows 11 1

Diese Sicherheitslücke ist noch recht frisch und die oben genannten Punkte sind kein Geheimrezept gegen potenzielle Angreifer. Eins ist jedoch sicher: Das wird nicht die letzte Sicherheitslücke sein, die uns beschäftigen wird. Und genau das bringt uns zum nächsten Punkt. 

Prophylaxe – Vorsorge ist die halbe Miete

Es sind zusammengefasst drei Punkte, die wir Ihnen zur Vorsorge nahelegen möchten. 

  • Nutzen Sie ein zentralisiertes Patchmanagement, das sowohl Ihre Server- als auch Ihre Clientsysteme versorgt. 
  • Setzen Sie Soft- und Hardware ein, die ungewünschten Traffic frühzeitig entdeckt und warnen kann. Der Microsoft Defender for Endpoint ist ein Beispiel für Erkennung und automatisierte Reaktion. Mehr dazu… 
  • Pflegen Sie eine aktuelle Liste im Unternehmen eingesetzter Software und Dienste. Dies betrifft auch auf Clients installierte Applikationen. 

SoftEd Software ist sicher

Gute Nachricht auf diesem Gebiet: ALLE SoftEd Software Lösungen mit MASKITO Formularware, SEMANO LMS und individuell für Kunden entwickelte Softwareprodukte sind nicht von Log4j betroffen, da wir keine Java-Komponenten einsetzen.

SoftEd ist sicherer Partner für Sie

Akuelle haben wir ausreichend Manpower gesichert, um Sie bei auftretenden Fragen, bei der Untersuchung und Härtung Ihrer IT-Systeme zu unterstützen. Für Ihre Fragen stehen wir Ihnen gern mit Rat und Tat zur Seite.  Wenden Sie sich gern an uns support@softed.de oder telefonisch unter 0351 86770.

Sicher mit SoftEd Training

Aus aktuellem Anlass gibt es 10% auf folgende Trainings (Promocode: NoLOg4j). Jetzt klicken und buchen: