Eine Sicherheitslücke in der Software Log4j beherrscht seit der vergangenen Woche die Technikschlagzeilen. Der Grund: Cyberkriminelle könnten darüber vollen Zugriff auf Millionen Geräte und Anwendungen bekommen - und haben dies bereits millionenfach versucht. Wie groß die Bedrohung für E-Commerce-Unternehmen ist und was Händler jetzt tun sollten, um sich zu schützen, erklärt Ole Sieverding von Cyberdirekt in einem Gastbeitrag.
Gerade im E-Commerce können Sicherheitsbedrohungen verheerende Schäden anrichten. Jährlich sind bis zu 32,4% aller erfolgreichen Bedrohungen in dieser Branche zu verzeichnen.
© IMAGO / Alexander Limbach
Der Einzelhandel wird als Angriffsziel für Hacker immer beliebter - und Log4j bietet Cyberkriminellen ein neues Einfallstor.
Kriminelle suchen jetzt gezielt nach der Schwachstelle
Hacker haben es in der Regel auf Administratoren, Benutzer und Mitarbeiter von E-Commerce-Shops abgesehen und verwenden eine Vielzahl von Techniken, um Kreditkartenbetrug, Scamming, Phishing, DDoS-Angriffe oder andere Sicherheitsbedrohungen zu erreichen.Im aktuell konkreten Fall geht es um eine kritische Sicherheitslücke in dem extrem weit verbreiteten Softwareprodukt „Log4j“. Laut BSI wird von Angreifern aktuell fieberhaft über das Internet nach solchen verwundbaren Systemen gesucht, um diese zu kompromittieren. Am Donnerstag, dem 9. Dezember, ging die Berichterstattung in der IT-Sicherheitsszene zu dem Thema los, und es konnten Angriffsmuster bis zum 1. Dezember nachverfolgt werden. Sie dient als Java-Bibliothek der Protokollierung von App-Aktivitäten der Anwender und wird daher von Entwicklern im Onlinebereich gerne verwendet. Durch die tiefgreifende Einbindung kann die Installation des Patches ungewollt weitreichende Folgen haben und zu Inkompatibilität und Softwarefehlern führen.
Theoretisch betroffen sind nicht nur Dienste, die direkt über das Internet erreichbar sind, sondern auch Anwendungen, die nur mittelbar mit Servern verbunden sind, die wiederum nach außen kommunizieren. Gleichzeitig lässt sich diese Schwachstelle mit wenigen Code-Kommandos auch von Laien ausführen. Sobald die Kontrolle über das betroffene System erlangt wurde, ist jede Form der Ausnutzung denkbar.
Neben insgesamt mindestens 140 betroffenen Software-Herstellern ist auch Apache betroffen. Apache ist als quelloffenes und freies Produkt einer der am meisten genutzten Webserver im ganzen Internet. Daher sind aktuell gerade Onlinesysteme wie Shops gefährdet.
Web-Application-Firewalls (WAF), Intrusion-Prevention-Systeme (IPS) und Reverse-Proxy-Verbindungen sollten bei nicht abschaltbaren, aber potenziell betroffenen Systemen so konfiguriert werden, dass diese bekannten Angriffsmuster direkt abgewiesen werden. Es empfiehlt sich, Netzwerkverbindungen auf ein Minimum zu reduzieren, möglichst viel und genau zu protokollieren und eine Anomalieerkennung zu betreiben.
Laut einer Studie des Digitalverbandes Bitkom belaufen sich die Schäden der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage auf 223 Milliarden Euro im Jahr. Eben diese Umfrage ergab, dass fast die Hälfte der deutschen Unternehmen schon mindestens einmal Opfer von Cyberkriminalität wurde.
Es reicht nicht, sich mit Firewalls und Virenschutz möglichst hohe Burgmauern zu bauen. Organisationen müssen sich verstärkt auch mit der Reaktion auf einen solchen Fall auseinandersetzen. Eine gute Cyber-Versicherung kann innerhalb einer ganzheitlichen IT-Sicherheitsstrategie Teil der Lösung sein. Ähnlich wie eine Krankenversicherung nicht vor schweren Krankheiten schützt, kann auch die Cyber-Versicherung solche Vorfälle nicht gänzlich verhindern. Aber sie kann den durch einen Cyber-Angriff eingetretenen Schaden begrenzen. Ersetzt werden meist Kosten für das Krisenmanagement und die Aufklärung. Neben der IT-Forensik werden die Kosten für den Wiederaufbau des IT-Systems übernommen, sowie die in der Zeit entstandenen Ertragsausfallschäden.
Kam es zu einer Datenschutzverletzung, wird der Vorfall mithilfe von Datenschutz-Anwälten an die zuständige Landesdatenschutzbehörde gemeldet und ggf. alle betroffenen Personen benachrichtigt. Ebenfalls versichert sind daraus resultierende Haftpflichtansprüche und die Unterstützung durch PR-Beratung, um Reputationsschäden abzuwenden.
MEHR ZUM THEMA:
Der Worst Case
Die Schwachstelle vereint drei Eigenschaften, die sie zu einem Worst Case machen: Sie ist weit verbreitet, lässt sich trivial ausnutzen und ermöglicht die vollständige Übernahme des betroffenen Systems. Als modularer Teil der Java-Software ist Log4j tief in die Softwarestruktur vieler Anbieter eingebunden, meist ohne dass die Softwarekunden davon wissen.Über den Autor
Theoretisch betroffen sind nicht nur Dienste, die direkt über das Internet erreichbar sind, sondern auch Anwendungen, die nur mittelbar mit Servern verbunden sind, die wiederum nach außen kommunizieren. Gleichzeitig lässt sich diese Schwachstelle mit wenigen Code-Kommandos auch von Laien ausführen. Sobald die Kontrolle über das betroffene System erlangt wurde, ist jede Form der Ausnutzung denkbar.
Krypto-Mining und Datenmissbrauch
Erste Fälle von Krypto-Mining, also dem Ausnutzen fremder Rechenkapazität zum Schürfen von Kryptowährungen, sind öffentlich bekannt geworden. Aber auch Datenmissbrauch oder Ransomware-Angriffe sind naheliegende Gefahren-Szenarien. Eine weitere Möglichkeit wäre zunächst unbemerkt eine Hintertür im kompromittierten System zu hinterlassen und diese zu einem späteren Zeitpunkt mit einem gezielten Angriff auszunutzen.Neben insgesamt mindestens 140 betroffenen Software-Herstellern ist auch Apache betroffen. Apache ist als quelloffenes und freies Produkt einer der am meisten genutzten Webserver im ganzen Internet. Daher sind aktuell gerade Onlinesysteme wie Shops gefährdet.
Schnell handeln
Das BSI rät, potenziell betroffene, aber nicht zwingend benötigte Systeme abzuschalten und die eigenen Netzwerke so zu segmentieren, dass potenziell verwundbare Systeme von allen anderen isoliert werden.Web-Application-Firewalls (WAF), Intrusion-Prevention-Systeme (IPS) und Reverse-Proxy-Verbindungen sollten bei nicht abschaltbaren, aber potenziell betroffenen Systemen so konfiguriert werden, dass diese bekannten Angriffsmuster direkt abgewiesen werden. Es empfiehlt sich, Netzwerkverbindungen auf ein Minimum zu reduzieren, möglichst viel und genau zu protokollieren und eine Anomalieerkennung zu betreiben.
Laut einer Studie des Digitalverbandes Bitkom belaufen sich die Schäden der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage auf 223 Milliarden Euro im Jahr. Eben diese Umfrage ergab, dass fast die Hälfte der deutschen Unternehmen schon mindestens einmal Opfer von Cyberkriminalität wurde.
Hundertprozentige Sicherheit gibt es nicht
Die aktive Auseinandersetzung mit Cyber-Gefahren benötigt deshalb mehr Management-Attention. Die aktuelle Bedrohungslage zeigt aber auch, dass es keine hundertprozentige Sicherheit gibt.Es reicht nicht, sich mit Firewalls und Virenschutz möglichst hohe Burgmauern zu bauen. Organisationen müssen sich verstärkt auch mit der Reaktion auf einen solchen Fall auseinandersetzen. Eine gute Cyber-Versicherung kann innerhalb einer ganzheitlichen IT-Sicherheitsstrategie Teil der Lösung sein.
Kam es zu einer Datenschutzverletzung, wird der Vorfall mithilfe von Datenschutz-Anwälten an die zuständige Landesdatenschutzbehörde gemeldet und ggf. alle betroffenen Personen benachrichtigt. Ebenfalls versichert sind daraus resultierende Haftpflichtansprüche und die Unterstützung durch PR-Beratung, um Reputationsschäden abzuwenden.
