Unternehmen sind nachlässig
Log4Shell ist immer noch gefährlich
Foto: Gesamtverbands der Deutschen Versicherungswirtschaft (GDV)
Seit über einem halben Jahr reißt Log4Shell Sicherheitslücken in die IT-Abwehr der Unternehmen – und könnte in zahlreichen deutschen Unternehmen immer noch zu Schaden führen. Darauf deuten die Ergebnisse einer Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) hin. Befragt wurden 300 Entscheider oder IT-Verantwortliche aus kleinen und mittleren Unternehmen.
Foto: Gesamtverbands der Deutschen Versicherungswirtschaft (GDV)
Log4j-Warnungen bleiben ungehört
Nur 40 Prozent der mittelständischen Unternehmen haben dem GDV zufolge nach dem Bekanntwerden der Sicherheitslücke ihre Software überprüft. Und das, obwohl das BSI im Dezember 2021 die höchste Alarmstufe für die Schwachstelle in der Java-Bibliothek ausgerufen und von einer "extrem kritischen Bedrohungslage" gesprochen hat.
"Die Unternehmen dürfen eine solche Schwachstelle und die lauten und klaren Warnungen davor nicht einfach ignorieren", mahnt GDV-Hauptgeschäftsführer Jörg Asmussen. Er warnt, dass Unternehmen auch ihren Cyber-Versicherungsschutz verlieren können, wenn Hacker über eine lange bekannte, aber dennoch noch offene Sicherheitslücke angreifen.
Cyberangriffe trotz Updates
Nutzen Cyberangreifer die Schwachstelle aus, können sie eigenen Programmcode auf dem Computer ihres Opfers ausführen oder gar das komplette System übernehmen. Wie der GDV berichtet, missbrauchten Hacker in der Vergangenheit die Rechenleistung betroffener Systeme, um Cryptomining zu betreiben, integrierten die Rechner in Bot-Netze für DDoS-Angriffe oder verschlüsselten Daten, um Lösegelder zu erpressen.
Darüber hinaus bestehe die Gefahr, dass Angreifer IT-Systeme mit Schadsoftware infizieren, noch bevor ein Sicherheitsupdate durchgeführt wurde. Dadurch seien sie in der Lage, die betroffenen Rechner auch nach dem Schließen der Sicherheitslücke weiter zu attackieren.
"Wer auf die Warnungen nicht reagiert, ist beim Thema IT-Sicherheit zu sorglos oder hat zu wenig Knowhow", sagt Asmussen. Entsprechende Informationen über Log4j sowie Maßnahmen, um die eigenen Systeme auf die Sicherheitslücke zu überprüfen, finden sich unter anderem online beim BSI.
Lesetipp: Was gegen Log4j hilft