Categories: Gastbeitrag

Log4Shell und die Folgen

Die Entdeckung von Log4Shell Ende Dezember letzten Jahres löste branchenweit große Unruhe aus. Unternehmen bemühten sich zügig herauszufinden, ob ihre eigenen Geräte zu den Hunderten von Millionen weltweit gehören, die das Java-basierte Protokollierungsprogramm Log4j nutzen. Um einen potenziellen Sicherheits-GAU zu verhindern, hatte die Federal Trade Commission (FTC) bereits wenige Wochen nach dem Bekanntwerden der Schwachstelle eine Warnung herausgegeben. Firmen werden darin angehalten, alle verfügbaren Patches einzuspielen, ansonsten hätten sie mit juristischen Konsequenzen zu rechnen.

Angesichts dessen wäre der logische nächste Schritt die Installation des erforderlichen Patches. In den meisten Szenarien völlig ausreichend. Log4Shell brachte aber eine Reihe neuer Herausforderungen mit sich. Unternehmen mussten erst einmal herausfinden, ob und wo genau der Fehler in ihren Systemen lag, um die schnellste und effizienteste Vorgehensweise festzulegen. Viele entschieden sich, Partner ihres Vertrauens mit ins Boot zu holen und mit ihnen über Lösungen und Services zu beraten. Groß angelegte Sicherheitsbedrohungen wie diese erinnern auch den Channel sehr deutlich daran, dass bösartige Akteure immer in Bewegung sind und Wege finden, geschäftlichen Schaden anzurichten.

Jetzt, mehr als sechs Monate nach der ersten Entdeckung von Log4Shell, hat es eine Verschiebung in der Channel-Landschaft gegeben. Unternehmen sind aktiv auf der Suche nach Security-Partnern, die es ihnen erlauben, sich vor den offensichtlich unvermeidlichen, aktuellen Bedrohungen besser zu schützen. Was heißt das für den Channel, und wie können Unternehmen sicherstellen, dass ihre Erwartungen in punkto Sicherheit erfüllt werden?

Der Channel und die Softwaresicherheit

Software- und Anwendungssicherheit (AppSec) sind nach Log4Shell und Angriffen wie SolarWinds, alle mit weitreichenden Auswirkungen auf die Softwarelieferkette, in den Vordergrund des Bewusstseins gerückt. Das gilt ebenso für Diskussionen mit Channelpartnern. Diese Art von Schwachstellen und Angriffen wirkt sich auf Unternehmen aller Größenordnungen aus, unabhängig von der Branche. Zudem haben sie einen hohen Aufmerksamkeitswert, der Firmen veranlasst hat, ihr Sicherheitsprofil zu überdenken.

Weitreichende Sicherheitsbedrohungen erinnern uns daran, auch die Feinheiten der eingesetzten Sicherheitstools routinemäßig zu überprüfen. Allein, um sicherzustellen, dass alles ordnungsgemäß funktioniert. Tauchen Unternehmen tiefer in die Materie ein, werden sie feststellen, dass sie größtenteils nicht genau wissen, was eigentlich in der von ihnen eingesetzten Software alles enthalten ist. Auch an dieser Stelle sind Partner gefragt, Empfehlungen auszusprechen und Lösungen anzubieten. Umso mehr als sich die Benutzer in einem besorgniserregenden Ausmaß von ihrer Software „entfremdet“ haben.

Open Source ist dabei zu einer grundlegenden Komponente geworden. In der Tat enthalten 98 % der Software- und Internet-Codebasen und 96 % aller Unternehmenssoftware/Software-as-a-Service (SaaS) Open Source-Komponenten. Obwohl Open Source in alltäglich genutzter Unternehmenssoftware so weit verbreitet ist, enthalten 85 % der Codebasen Open Source-Komponenten, die seit mehr als vier Jahre veraltet sind, und 88 % verwenden Komponenten, die nicht der neuesten verfügbaren Version entsprachen. Die Zahlen sind alarmierend. Offensichtlich wird Software nicht ausreichend gepflegt, und die meisten Systeme sind dementsprechend nicht auf dem neuesten Stand. Bei veralteten Systemen aber steigt das Risiko, dass Schwachstellen erfolgreich von Cyberkriminellen ausgenutzt werden. Besonders erschreckend an diesem Befund ist der Grund, warum veraltete Systeme überhaupt existieren: Die meisten Firmen wissen nicht, was genau in ihren Systemen steckt, oder dass bereits eine aktualisierte Version verfügbar ist. Moderne Software stellt andere Anforderungen und erfordert an vielen Stellen besondere Aufmerksamkeit. Daran sind viele Unternehmen nicht gewöhnt beziehungsweise nicht ausreichend darauf vorbereitet.

Software- und Anwendungssicherheit sind mithin zu Kernkomponenten geworden, wenn es gilt, die geschäftliche Kontinuität zu wahren. Aber selbst die zuverlässigsten Anbieter sind nicht immun gegen Software-Bedrohungen. Angesichts der aktuellen und zu erwartenden Herausforderungen stellen sich nicht wenige Unternehmen die Frage, wie sie den richtigen Security-Partner finden.

Das Problem mit der Softwaresicherheit – So finden Sie den richtigen Partner

Fragen Sie einen beliebigen Sicherheitsverantwortlichen, und jeder wird Ihnen dasselbe sagen: Der kritischste Aspekt bei einer Sicherheitsverletzung ist der Faktor Zeit. Die Zeit, die ein Anbieter braucht, um zu erkennen, dass er angegriffen wurde, die Zeit, die er braucht, um seine Kunden zu benachrichtigen, die Zeit, die er braucht, um das Problem zu beheben, aufgrund dessen er überhaupt erst kompromittiert werden konnte, und die Zeit, die er braucht, um die Auswirkungen zu bewerten.

Das gilt analog für Software-Schwachstellen. Die Zero-Day-Schwachstelle in Log4j bildet in Sachen Schnelligkeit keine Ausnahme. Aber hier kommt eine weitere Hürde hinzu: die Zeit, die Firmen brauchen, um festzustellen, ob die Schwachstelle in ihren Systemen überhaupt vorliegt. Natürlich spielt das Tempo auch für den betreuenden Partner eine gewichtige Rolle.

Der ideale Partner ist allerdings einer, dessen Ziel es ist, das Risiko beim Kunden zu senken, bevor es sich überhaupt so massiv auswirken kann. Bei AppSec geht es darum, Schwachstellen zu erkennen, bevor sie zu Sicherheitsverletzungen führen. Unternehmen sollten Applikationssicherheit wie eine vorbeugende Medizin betrachten. Sie bewahrt die Gesundheit des Unternehmens, und wirkt, bevor ein Problem auftaucht, und nicht erst, wenn man eines beheben muss.

AppSec und Softwaresicherheit werden immer häufiger als Optionen für unternehmerisches Wachstum und Kundenbindung gesehen. Vermutlich sind aktuell nicht alle Partner mit dem Thema vertraut. Selbst dann nicht, wenn sie einen Hintergrund im Verkauf oder der Bereitstellung von Dienstleistungen in anderen Bereichen der Cybersicherheit haben. Deshalb ist es wichtig, Unterstützung in Form von Schulungen oder andere Möglichkeiten anzubieten, wie man Wissen aufbauen und erweitern kann.

Zwischen Software und ihren Benutzern haben sich Lücken aufgetan. Firmen müssen sich deshalb auf einen Partner verlassen können, der sie hinsichtlich einer vorausschauenden Sicherheit begleitet und dabei unterstützt, präventiv Maßnahmen zu ergreifen. Mit einem AppSec-Ansatz lässt sich jeder Teil der betreffenden Softwarelieferkette sichern, von der Codeentwicklung bis zum Testen von Softwarepaketen. AppSec hätte Log4Shell vermutlich nicht gänzlich verhindern können. Dennoch, ein proaktiver AppSec-Ansatz, flankiert von sorgfältigen und strengen Testroutinen, um zu verstehen, wie es um die Software einer Organisation bestellt ist, hätte die Auswirkungen schon im Vorfeld mindern können.

Was kommt als Nächstes auf den Channel zu?

Schwachstellen und Angriffe mit potenziell schwerwiegenden Auswirkungen nehmen weiter zu. Angesichts dessen wird es in sämtlichen Branchen zu einer grundlegenden Überarbeitung bestehender Sicherheitsstrategien kommen.

Um die Herausforderungen innerhalb der Softwarelieferkette zu meistern, sollten Channelpartner prüfen, wie und welche präventiven Sicherheitsmaßnahmen sie ergreifen wollen – und dabei den Endbenutzer im Blick behalten. Genauso wichtig wie die Auswahl der richtigen Technologie ist es für einen erfolgreichen Channelpartner, sich Zeit zu nehmen, die Funktionsweise einer Technologie zu demonstrieren und zu erläutern. Mit dem geeigneten Security-Partner sind Teams im Falle einer Sicherheitsverletzung jedenfalls deutlich besser gewappnet – ebenso wie die Systeme.

ZDNet.de Redaktion

Recent Posts

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

14 Stunden ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

19 Stunden ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

21 Stunden ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Tagen ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

3 Tagen ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

3 Tagen ago