Log4j Softwarefehler

Michael Meixner, Dez. 2021

HINWEIS: Anregungen, Diskussionen oder Anfragen richten Sie bitte an cyber@forensic.wien

Es ist traurig, aber es ist Realität in der IT-Branche, dass solche Softwarefehler wie Log4j passieren. Schlussendlich arbeiten Menschen an diesen Softwareprojekten, und oft ist die tatsächliche Tragweite nicht sofort erkennbar. Einige IT-Sicherheitsleute sind der Meinung, dass diese Funktion schon 2013 vorhanden war. Also kam diese Schwachstelle erst nach 8 Jahren an die Öffentlichkeit.

Wie lange diese aber schon aktiv von Geheimdiensten gezielt ausgenutzt wurde wird niemals geklärt werden können.

Aus meiner Sicht ist diese Schwachstelle ein ganz normaler Prozess in der Softwareentwicklung und in der operativen IT. Wenn Schwachstellen veröffentlicht werden, sollte die IT-Abteilung eine schnelle Risikoanalyse durchführen, dies mit dem Management besprechen und das Risiko entweder beheben oder akzeptieren.

Generell versuche ich schon seit Jahren, Unternehmen davon zu überzeugen, ein aktives Log-Management zu implementieren. Nur wenn ich über meinen Datenverkehr und diverse Ereignisse in „Realtime“ informiert bin, kann ich entsprechend gegensteuern. Alles was ich nicht sehe, kann ich auch nicht wissen oder bewerten.

Leider setzen aus meiner Sicht noch viel zu wenige Unternehmen auf ein schlankes und schlagfertiges Live-Logging-Management.

Es zählt nicht nur dass solche Schwachstellen sofort erkannt werden und Alarm geschlagen werden kann, sondern auch alltägliche Aktivitäten wie beispielsweise mitten in der Nacht aktive RDP-Verbindungen auf Servern oder Änderungen von Gruppenmitgliedschaften.

All dies bewerkstelligt Kibana mit Elasticsearch, welches obendrein auch noch gratis ist. Mit wenigen Euro könnte man noch auf Secure DNS setzen, um in aller Ruhe Wochenende und Feiertage in der IT-Abteilung geniessen zu können.

Ein aktives und Realtime-Logmanagement ist mit einem Aufwand von zirka 5 Personentagen in einem Unternehmen jeder Größe im Basisumfang implementiert und einsatzbereit. Bei Secure DNS dauert dies nur wenige Stunden, um in diesem Bereich ebenfalls state-of-the-art gut geschützt zu sein.