Log4j – was ist mit dieser Sicherheitslücke?

Seit Anfang Dezember geht die „Log4j Zero-Day-Lücke“ als die größte Sicherheitslücke des Jahres durch alle einschlägigen Medien. Aber was hat es damit auf sich? Nur soviel vorneweg: Es handelt sich um ein ernstes Problem, an dem Sie nicht selbst schuld sind. Aber Sie könnten davon betroffen sein, ohne es zu wissen oder zu merken. Denn viele Softwareanwendungen verwenden dieses „Log4j“, welches Hacker ohne große Trickserei als Einfallstor in Server und Netzwerke missbrauchen. Das versetzt selbst gelassene IT-Sicherheitsexperten in Aufruhr und sorgt für Überstunden der IT-Fachabteilungen. Aber die gute Nachricht ist: Inzwischen gibt es Abhilfe durch umfassende Updates vieler Software-Hersteller. Und man setzt auf Werkzeuge, die gezielt nach eventuellen Problemen suchen und diese protokollieren.

Wir geben Ihnen hier einen kurzen Überblick über den Stand der Dinge.

Das BSI ruft die Cyber-Sicherheitswarnung der Warnstufe Rot aus

Seit dem 10.12.2021 berichten alle namhaften Online-Medien von einer „Log4j-Zero-Day-Lücke“. „Log4j“ ist eine Software aus der Java-Welt, die oft und gerne verwendet wird.  „Zero-Day“ bezieht sich auf die unschöne Tatsache, dass die Sicherheitslücke öffentlich bekannt wurde, bevor es einen Patch dafür gab. Bevorzugtes Angriffsziel sind Server, aber auch alle möglichen anderen vernetzten Geräte. Deshalb also die dringlichen Warnungen des BSI und die hektische Betriebsamkeit in den vielen IT-Fachabteilungen. So gibt es hierzu ganz aktuell bereits konkrete Handlungsempfehlungen (heise-Security-Webinar: Log4j – der Praxis-Ratgeber für Admins …) Derzeit spitzt sich die Lage zu. Denn inzwischen gibt es immer mehr  Meldungen über entdeckte Schadsoftwares, die sich den Zutritt über „Log4j“ verschafft haben. Und auch immer mehr Erpressungsversuche sind aktenkundig.

Worin besteht die besondere Gefahr von „Log4j“?

Log4j (=Protokoll-Auswertung für Java) ist eine beliebte Protokollierungsbibliothek für Java. Sie dient der Verarbeitung von Protokolldaten einer beliebigen (auch nicht-Java-) Anwendung. Protokolle braucht man in der Regel, wenn zwischen zwei Stellen Daten ausgetauscht werden. Für alle Nicht-Tekkies übersetzt heißt das: „Log4j“ ist eine Software, welche unter Java-läuft und welche die Kommunikation zwischen unterschiedlichen Programmen erleichtert. Diese Software arbeitet auf sämtlichen gebräuchlichen Betriebs-System- und Hardware-Plattformen. Also sowohl auf Servern als auch auf Nutzer-Endgeräten wie PCs, IOT-Geräten oder sogenannten Smart Devices. Log4j findet also sehr häufig Verwendung. Oftmals ist ihr Einsatz nicht einfach zu erkennen. Auf den Punkt gebracht bedeutet dies: Ein Angriff über die Log4j-Lücke ist sehr einfach durchzuführen und fast jede vernetzte Hardware ist gefährdet. Und damit findet das Übel eine weite Verbreitung.

Webcast: USV für KMUs (Best Practice)

Eine „unterbrechungsfreie Stromversorgung“ (USV) leisteten sich in der Vergangenheit nur Betriebe mit großen IT-Anlagen. Dazu gehören ganz sicher Internet-Betreiber und DataCenter, denn zu deren Geschäftsmodell gehört die Ausfallsicherheit. Aber was früher eine kostspielige Angelegenheit war ist heute für KMUs durchaus erschwinglich. Und auch der kleine Betrieb kann sich einen IT-Ausfall eigentlich nicht mehr leisten. Schließlich ist im Zeitalter der Digitalisierung fast jeder Betrieb – egal ob klein oder groß – abhängig von einer störungsfreien Stromversorgung. Denn ohne Strom kein Internet, kein Telefon und keine Computer.

Leider ist die Stromversorgung hierzulande selbst in Ballungszentren nicht so zuverlässig, wie wir es gerne hätten. Denn neben längeren Stromausfällen haben auch kurze Unterbrechungen und Stromschwankungen zugenommen, Tendenz steigend. So verursachen alle drei Vorkommnisse regelmäßig Schäden wie zum Beispiel Arbeitsausfälle, Hardwaredefekte und Datenverluste. Daher ist eine unterbrechungsfreie Stromversorgung auch für einen kleinen Betrieb eine durchaus sinnvolle Investition. Und deshalb zeigen wir Ihnen in diesem Webcast, welche Lösungen und Konzepte es für Ihren kleinen Betrieb gibt. Und Sie erfahren, in welchen Fällen eine USV sogar weit mehr bietet, als nur einen Akku als sogenanntes Backup.

Referent/in

Uwe Stache, BB-ONE.net GmbH

Zielgruppe

Das Webinar wendet sich an Personen im Unternehmen, die für den sicheren und stabilen Betrieb der Unternehmens-IT verantwortlich sind.

Vorkenntnisse zum Thema „unterbrechungsfreie Stromversorgung“

Grundsätzlich brauchen Sie hier keine Vorkenntnisse. Doch falls Sie sich schon einmal ein wenig einlesen wollen oder weitere Hintergrundinformationen suchen, dann empfehlen wir Ihnen den Beitrag „Stromausfall? Keine Option für Unternehmen!“ im BB-ONE.net Magazin …

Starten Sie das Webinar:


Haben Sie Fragen?

Wenn Sie Fragen haben oder noch einmal nachhaken wollen, dann nutzen Sie einfach das Formular:





    Bitte beweisen Sie, dass Sie kein Spambot sind und wählen Sie das Symbol Baum aus.

     

    Der „Einjährige“

    Ein Grund zur Freude

    Erinnern Sie sich? Vor einem Jahr machten wir aus den eBusiness Lotse Berlin ein eigenständiges Unternehmen. Als Beratungsplattform für KMU in Sachen Internet sind wir ja bekannter Maßen ein „alter Hase“. Aber als „Jungunternehmen“ feieren wir jetzt unseren 1. Geburtstag. Auch wenn unser erstes Firmenjubiläum aufgrund der allgemeinen Situation zunächst ein wenig untergegangen ist, haben wir jetzt auf jeden Fall einen Grund mehr zur Freude.

    Wir arbeiten immer noch hart daran, aus dem großen Schatten der BB-ONE.net herauszutreten. Das ist nicht immer so ganz einfach, denn unser „Urstamm“-Unternehmen, so nennen wir es mal, ist selbst extrem beratungsstark. Da verschwimmen die Grenzen sehr leicht, und als „junger Spross“ droht man dann eventuell zu verkümmern. Doch das wollen wir auf gar keinen Fall.

    Das haben wir in den letzten 12 Monaten erreicht

    Deshalb hatten wir uns zu Beginn des Jahres vorgenommen, unsere Veranstaltungsformate zu optimieren. Und mit den ersten Live-Veranstaltungen, wenn auch nur online, sind wir weiterhin auf einem guten Weg. Das werden wir also auf jeden Fall fortsetzen, unter anderem auch, weil es extrem viel Spaß macht, Sie alle wiederzusehen und mit Ihnen direkt zu interagieren. Das nächste Live-Webinar zum Thema „HomeOffice – technische Maßnahmen“ ist schon in Vorbereitung und wird anfang August stattfinden. Wenn Sie wollen, können Sie sich dafür schon jetzt anmelden, aber wir werden Sie auch noch einmal separat dazu einladen.

    Inzwischen führen wir auch erste kostenpflichtige Einzelberatungen und individuelle Webinare an. Schwerpunktmäßig werden hier spezielle SEO-Themen bearbeitet oder die Website-Performance und Sicherheit überprüft und optimiert. Da steckt viel mehr dahinter, als man auf den ersten Blick sieht. So überprüfen und testen wir SSL/TLS-Zertifikate in Hinblick auf technische und inhaltliche Korrektheit und helfen, deren Implementierung auf Ihren Websites zu optimieren. Denn damit verbessern Sie nicht nur die Sicherheit Ihrer Online-Anwendungen, sondern auch die Bewertung durch die Suchmaschinen. Einigen Kunden helfen wir bei der textlichen Suchmaschinenoptimierung. Oder wir begleiten Kunden inhaltlich beim Transfer und den Neuaufbau von Inhalten beim Website-Relaunch.

    Das haben wir in den kommenden 12 Monaten vor

    Die Berliner Handwerkkskammer, unser ehemaliger Partner, bietet in jüngster Zeit Online-Veranstaltungen zum Thema „Onlineshop“ an. Das hat uns aus verschiedenen Gründen einigermaßen überrascht. Hauptsächlich deswegen, weil das Einrichten und Betreiben eines Onlineshops dort als „easy going“ Angelegenheit verkauft wird, bei der man weder Vorkenntnisse und noch viel Zeit braucht. Zugegeben, es ist gut und richtig, dass man sich über Alternativen zum „Präsenz-Geschäft“ weiterhin Gedanken macht. Wenn Sie Ihr „Handeln“ Richtung Internet verschieben, ist das in Hinblick auf die Ergeignisse der vergangenen Monate sichlich sinnvoll. Aber der Online-Shop ist ein Schritt, den man sich gut überlegen muss. Denn das ist weder „easy“, noch ohne Wissen, geschweige denn unter Zeit- und Geldnot zu stemmen. Aber – und das ist die gute Nachricht – hier können wir mit unseren Kooperationspartnern professionell helfen. Sogar bei der Beschaffung von Fördermitteln zur Finanzierung. Also einfach mal anfragen, wenn Sie so etwas vorhaben…

    Vom Nachbrenner zum Dauerbrenner

    „Wenn Du wissen willst, was Deine Kunden brauchen, dann frage sie einfach.“ Genau das hatte unser Partner, die BB-ONE.net, getan. Und offensichtlich hatte sie mit der Umfrage zur E-Mailarchivierung ins Schwarze getroffen. Jedenfalls war die Resonanz erfreulich positiv. Denn viele Unternehmer und Entscheider – einige davon eifrige Nutzer unserer Beratungsangebote – ergriffen ihre Chance zu einem kostenlosen Beratungsgespräch per Web-Konferenz. Aus diesem Erfolg konnten wir zwei wichtige Erkenntnisse gewinnen und daraus entsprechende Konsequenzen ziehen:

    1. Das Thema E-Mailarchiv wird  von Ihnen durchaus sehr ernst wahrgenommen.

    Deshalb gibt es bei uns jetzt einen eigenen Webcast: eMail-Archivierung. Am besten schauen Sie gleich mal rein, denn dieser Videobeitrag dauert weniger als 15 Minuten. Das ist eine gute Investition in die technische, rechtliche und organisatorische Absicherung Ihrer geschäftlichen E-Mailkorrespondenz.

    2. Der Wunsch nach einer Fachberatung für Internet-Geschäftsanwendungen ist ungebrochen.

    Es freut uns, dass ein harter Kern von EBL-Nutzern tatsächlich „dranbleibt“, seit es den eBusiness Lotsen Berlin als Beratungsangebot gibt. Das bestärkt uns in unseren Plänen, die „Präsenz“ Beratungsaktivitäten wieder aufzunehmen. Und zwar mit einer neuen Web-Konferenzlösung, die das persönliche Gespräch oder sogar die Teilnahme an Gruppensitzungen online ermöglicht.

    Online Themen-Stammtisch in Planung

    Inzwischen haben wir also eine passende Online-Konferenz Lösung gefunden. Nachdem Web-Meetings breitentauglich und salonfähig geworden sind, können wir wieder „Brennpunkt-Themen“ in größerer Runde live erörtern. Dabei können Sie dann wie früher bei den Präsenzveranstaltungen Ihre Fragen stellen und mit anderern Unternehmern Erfahrungen austauschen. Der erste  Stammtisch findet voraussichtlich am … statt. Die Termine und Themen geben wir im nächsten Dezember-Newsletter bekannt, denn dann steht die Planung für 2021 fest.

    Übrigens

    Eines der ersten Stammtisch-Themen im neuen Jahr wird sicherlich die „E-Mailarchivierung“ sein. Wenn Sie aber nicht bis dahin warten möchten, dann haben Sie noch bis Ende November diesen Jahres die Möglichkeit, sich eine kostenlose Beratung über die Teilnahme an der Umfrage zu sichern. Diese Chance sollten Sie zeitnah nutzen.

    Digitale Souveränität

    Nein, das ist ganz sicher kein neuer Marketingbegriff. Die „digitale Souveränität“ steht für eine neue Agenda im Umgang mit der Digitalisierung. Denn die „Corona-Krise“ hat gezeigt, dass wir zu lange die Augen vor einer von vielen unangenehmen Tatsachen verschlossen hielten: Deutschland ist in Sachen Digitalisierung weltweit gesehen mittelmäßig. Das ist für eine sonst so hoch technisierte Export- und Industrienation peinlich.

    Glücklicher Weise reichten unsere digitalen Ressourcen in Ausnahmesituation der vergangenen Wochen gerade noch so, um die hastig eingerichteten Homeoffices und Video-Konferenzsysteme im Betrieb zu halten. Aber gut ist definitiv anders. Unsere Versäumnisse sind nicht nur im lückenhaften Breitband-Internetausbau zu suchen. Mehrnoch: Sie liegen viel tiefer. Denn wir haben verschlafen, bei der Festlegung neuer technischer Standards und Regeln aktiv ganz vorn mitzuwirken. Deshalb bleibt uns derzeit nur noch das Hinterherlaufen und Reagieren. Und diese fehlende digitale Souveränität wird jetzt zu einem echten Problem.

    Wo genau liegt das Problem?

    Ein konkretes Beispiel aus aktuellem Anlaß

    In den letzten Monaten zeigte sich die fatale Abhängigkeit Europas und auch die der Bundesrepublik Deutschland von Lieferungen aus anderen Teilen der Erde. Dabei ging es überwiegend um medizinische Produkte. Dabei warnten Fachleute siet Jahren vor den eklatanten Folgen, auf eigene Produktions- und Vorratskapazitäten zu verzichten. Leider interessierte sich bis zum Ausbruch der Pandemie kaum jemand dafür.

    Das gleiche Phänomen beobachten wir auch seit Jahren in Internet und Informationstechnologie. Denn Innovationen entstehen hier inzwischen woanders. Schlimmer noch, man investiert in Ausbildung und Infrastruktur erst, wenn es die Umstände unvermeidlich machen. Und anstatt zu agieren versucht man im nachhinein zu regulieren. Kurzum, nicht nur die Politik, sondern auch speziell die deutsche Wirtschaft ignoriert seit Jahren Entwicklungen und Tendenzen der Digitalisierung. Die Konsequenzen des eigenen Handelns bzw. Unterlassens blendet man einfach aus.

    Eine eco-Studie zum Thema „Digitale Souveränität“

    Der Verband der deutschen Internetwirtschaft, eco e.V. führte Anfang März 2020 eine Umfrage unter deutschen IT-Experten zum Thema „Digitale Souveränität“ durch. Man wollte wohl genau diesem Verdacht nachgehen, dass die Spielregeln in der IT kaum noch hierzulande gemacht werden. Im Endeffekt bedeutet das nämlich, dass sich die meisten deutschen Unternehmen mehr oder weniger von Produkten und Dienstleistungen aus anderen Staaten abhängig gemacht haben.