Unternehmen sind nachlässig

Log4Shell ist immer noch gefährlich

Trotz aller Warnungen, hat jedes zweite Unternehmen seine IT-Systeme nicht ausreichend vor der Log4j-Sicherheitslücke geschützt.
Von 
CSO | 11. Juli 2022 12:56 Uhr
GDV-Hauptgeschäftsführer Jörg Asmussen fordert Unternehmen auf, ihre Systeme auf die Sicherheitslücke Log4Shell zu untersuchen.
GDV-Hauptgeschäftsführer Jörg Asmussen fordert Unternehmen auf, ihre Systeme auf die Sicherheitslücke Log4Shell zu untersuchen.
Foto: Gesamtverbands der Deutschen Versicherungswirtschaft (GDV)

Seit über einem halben Jahr reißt Log4Shell Sicherheitslücken in die IT-Abwehr der Unternehmen – und könnte in zahlreichen deutschen Unternehmen immer noch zu Schaden führen. Darauf deuten die Ergebnisse einer Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) hin. Befragt wurden 300 Entscheider oder IT-Verantwortliche aus kleinen und mittleren Unternehmen.

Zu wenig Unternehmen haben nach Bekanntwerden der Schwachstelle im Framework Apache Log4j reagiert.
Zu wenig Unternehmen haben nach Bekanntwerden der Schwachstelle im Framework Apache Log4j reagiert.
Foto: Gesamtverbands der Deutschen Versicherungswirtschaft (GDV)

Log4j-Warnungen bleiben ungehört

Nur 40 Prozent der mittelständischen Unternehmen haben dem GDV zufolge nach dem Bekanntwerden der Sicherheitslücke ihre Software überprüft. Und das, obwohl das BSI im Dezember 2021 die höchste Alarmstufe für die Schwachstelle in der Java-Bibliothek ausgerufen und von einer "extrem kritischen Bedrohungslage" gesprochen hat.

"Die Unternehmen dürfen eine solche Schwachstelle und die lauten und klaren Warnungen davor nicht einfach ignorieren", mahnt GDV-Hauptgeschäftsführer Jörg Asmussen. Er warnt, dass Unternehmen auch ihren Cyber-Versicherungsschutz verlieren können, wenn Hacker über eine lange bekannte, aber dennoch noch offene Sicherheitslücke angreifen.

Cyberangriffe trotz Updates

Nutzen Cyberangreifer die Schwachstelle aus, können sie eigenen Programmcode auf dem Computer ihres Opfers ausführen oder gar das komplette System übernehmen. Wie der GDV berichtet, missbrauchten Hacker in der Vergangenheit die Rechenleistung betroffener Systeme, um Cryptomining zu betreiben, integrierten die Rechner in Bot-Netze für DDoS-Angriffe oder verschlüsselten Daten, um Lösegelder zu erpressen.

Darüber hinaus bestehe die Gefahr, dass Angreifer IT-Systeme mit Schadsoftware infizieren, noch bevor ein Sicherheitsupdate durchgeführt wurde. Dadurch seien sie in der Lage, die betroffenen Rechner auch nach dem Schließen der Sicherheitslücke weiter zu attackieren.

"Wer auf die Warnungen nicht reagiert, ist beim Thema IT-Sicherheit zu sorglos oder hat zu wenig Knowhow", sagt Asmussen. Entsprechende Informationen über Log4j sowie Maßnahmen, um die eigenen Systeme auf die Sicherheitslücke zu überprüfen, finden sich unter anderem online beim BSI.

Lesetipp: Was gegen Log4j hilft

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.