Was bedeutet Log4j für Banken und Versicherer? Kommentar Laurie Mercer, Security Engineer HackerOne

Gegenwärtig kann man davon ausgehen, dass wohl fast jedes große Unternehmen weltweit von Log4j betroffen ist, direkt oder indirekt über Partnerunternehmen in der Lieferkette. Unsere Kunden haben bereits nahezu 700 Berichte von Hackern in fast 250 Programmen zu Log4j über unsere Plattform erhalten. Das zeigt, sowohl unsere Hacker als auch unsere Kunden nehmen diese Bedrohung sehr ernst. Denn bisher sind alle eingegangenen Meldungen entweder als „high“ oder „critical“ eingestuft. Gleichzeitig arbeiten die Unternehmen mit Hochdruck daran, die Lücken zu schließen und die durchschnittliche Zeit, die dafür benötigt wird, beträgt aktuell weniger als 2 Tage.

von Laurie Mercer, Security Engineer bei HackerOne

Dennoch ist die Gefahr nicht zu unterschätzen, Opfer einer Attacke zu werden. Denn erstens ist diese Schwachstelle sehr leicht auszunutzen; der Angreifer muss nur einen speziellen Text in verschiedene Teile einer Anwendung einfügen und auf die Ergebnisse warten. Zweitens ist es schwierig festzustellen, was wirklich betroffen ist und was nicht, da die Schwachstelle in einer Core-Bibliothek liegt, die mit vielen anderen Softwarepaketen gebündelt ist.

Und die jetzt aufgedeckte Schwachstelle zeigt ein weiteres Problem auf:

Da es sich bei Log4j um eine Open-Source-Bibliothek handelt, gibt es per se keine zentrale Zuständigkeit.”

Entsprechend unterstreicht die aktuelle Herausforderung als schwerwiegende Sicherheitslücke in einem zentralen Open-Source-Paket die Notwendigkeit, die Open-Source-Community durch so etwas wie eine Internet Bug Bounty – also ein Prämienprogramm für gefundene, gemeldete und verifizierte Schwachstellen – zu unterstützen.

Und für das Finanzwesen?

Für das Finanzwesen heißt das konkret, dass es nicht ausreicht, sich lediglich an die von der BaFin vorgegebenen Mindestanforderungen an das Risikomanagement (MaRisk) zu halten. Denn dies würde Unternehmen nicht dabei helfen, die aktuelle Log4j-Sicherheitslücke (CVE-2021-44228) zu entdecken. Dadurch wären zahllose deutsche Finanzinstitute gefährdet. Die Vorgaben der BaFin sehen vor, dass Tests in zwei Situationen durchgeführt werden sollen:

1. Die IT-Systeme müssen getestet werden, bevor sie zum ersten Mal zum Einsatz kommen; und
2. nachdem wesentliche Änderungen vorgenommen worden sind.

In der aktuellen Situation mit der Log4j-Sicherheitslücke trifft jedoch keine dieser beiden Bedingungen zu. Darüber hinaus lassen die MaRisk-Vorgaben eine bedeutende Maßnahme in Sachen IT-Sicherheit außer Acht: Hier ist nicht vorgesehen, dass der Community ethischer Hacker – einschließlich des Entdeckers von CVE-2021-044228 – ein Kanal zur Verfügung steht, um Schwachstellen zu melden, sodass diesen rechtzeitig begegnet werden kann. Auch Risiken, die sich aus der Lieferkette ergeben, werden darin von der BaFin nicht erwähnt.

Finanzinstitute sollten daher sicherstellen, dass sie Bedrohungen und Schwachstellen kontinuierlich überwachen. Punktuelle Tests reichen nicht mehr aus, um mit der sich schnell verändernden Bedrohungslandschaft Schritt zu halten.”

Dies sollte auch ein Weckruf für die Aufsichtsbehörden auf der ganzen Welt sein: Die bisherige Risikoeinschätzung trifft nicht länger zu.Laurie Mercer, HackerOne