Nach Bekanntwerden einer schweren Sicherheitslücke („Log4j-Zero-Day“) in der weit verbreiteten Java-Bibliothek Log4j hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese in die höchste Warnstufe Rot eingestuft. Nunmehr hat das BSI eine erste umfangreiche Handlungsempfehlung für Unternehmen und Einrichtungen herausgegeben.
Da Log4j als Komponente in sehr vielen Java-Applikationen verwendet wird, ist momentan nicht absehbar, wie viele Internetdienste – auch von namhaften Firmen – betroffen sind. Es gibt bereits erste Meldungen über erfolgreiche Kompromittierungen. Auch grundschutzkonforme IT-Systeme sind gefährdet.
Der Beauftragte für den Datenschutz der EKD empfiehlt allen kirchlichen und diakonischen Einrichtungen, die Server selbst betreiben oder bei einem Dienstleister nutzen, sich unverzüglich über die möglichen Abhilfemaßnahmen zu informieren und sofort alle notwendigen Schritte einzuleiten. Im Fall von gehosteten Servern sollte schnellstmöglich der Dienstleister kontaktiert werden.
Um potenziell betroffene IT-Systeme leichter zu identifizieren, sollte als erster Schritt überprüft werden, welche Anwendungen Java als Installationsvoraussetzung haben oder Java installieren. Zu diesen Systemen sollten dann die Meldungen des jeweiligen Herstellers vorrangig geprüft werden. Nicht zwingend benötigte Server und Anwendungen sollten vorübergehend deaktiviert oder abgeschaltet werden. Die weitere Entwicklung der Situation und Herausgabe von Updates muss kontinuierlich im Blick behalten werden.
Bildquellen
- Eilmeldung: Bildrechte beim BfD EKD