Log4Shell und die Folgen

Wie sich die Zero-Day-Schwachstelle in Log4j auf das Channel-Ökosystem ausgewirkt hat, untersucht Tom Herrmann, Vice President of Global Channels and Alliances bei der Synopsys Software Integrity Group, in einem Gastbeitrag.

Die Entdeckung von Log4Shell Ende Dezember letzten Jahres löste branchenweit große Unruhe aus. Unternehmen bemühten sich zügig herauszufinden, ob ihre eigenen Geräte zu den Hunderten von Millionen weltweit gehören, die das Java-basierte Protokollierungsprogramm Log4j nutzen. Um einen potenziellen Sicherheits-GAU zu verhindern, hatte die Federal Trade Commission (FTC) bereits wenige Wochen nach dem Bekanntwerden der Schwachstelle eine Warnung herausgegeben. Firmen werden darin angehalten, alle verfügbaren Patches einzuspielen, ansonsten hätten sie mit juristischen Konsequenzen zu rechnen.

Angesichts dessen wäre der logische nächste Schritt die Installation des erforderlichen Patches. In den meisten Szenarien völlig ausreichend. Log4Shell brachte aber eine Reihe neuer Herausforderungen mit sich. Unternehmen mussten erst einmal herausfinden, ob und wo genau der Fehler in ihren Systemen lag, um die schnellste und effizienteste Vorgehensweise festzulegen. Viele entschieden sich, Partner ihres Vertrauens mit ins Boot zu holen und mit ihnen über Lösungen und Services zu beraten. Groß angelegte Sicherheitsbedrohungen wie diese erinnern auch den Channel sehr deutlich daran, dass bösartige Akteure immer in Bewegung sind und Wege finden, geschäftlichen Schaden anzurichten.

Jetzt, mehr als sechs Monate nach der ersten Entdeckung von Log4Shell, hat es eine Verschiebung in der Channel-Landschaft gegeben. Unternehmen sind aktiv auf der Suche nach Security-Partnern, die es ihnen erlauben, sich vor den offensichtlich unvermeidlichen, aktuellen Bedrohungen besser zu schützen. Was heißt das für den Channel, und wie können Unternehmen sicherstellen, dass ihre Erwartungen in punkto Sicherheit erfüllt werden?

Der Channel und die Softwaresicherheit

Software- und Anwendungssicherheit (AppSec) sind nach Log4Shell und Angriffen wie SolarWinds, alle mit weitreichenden Auswirkungen auf die Softwarelieferkette, in den Vordergrund des Bewusstseins gerückt. Das gilt ebenso für Diskussionen mit Channelpartnern. Diese Art von Schwachstellen und Angriffen wirkt sich auf Unternehmen aller Größenordnungen aus, unabhängig von der Branche. Zudem haben sie einen hohen Aufmerksamkeitswert, der Firmen veranlasst hat, ihr Sicherheitsprofil zu überdenken.

Weitreichende Sicherheitsbedrohungen erinnern uns daran, auch die Feinheiten der eingesetzten Sicherheitstools routinemäßig zu überprüfen. Allein, um sicherzustellen, dass alles ordnungsgemäß funktioniert. Tauchen Unternehmen tiefer in die Materie ein, werden sie feststellen, dass sie größtenteils nicht genau wissen, was eigentlich in der von ihnen eingesetzten Software alles enthalten ist. Auch an dieser Stelle sind Partner gefragt, Empfehlungen auszusprechen und Lösungen anzubieten. Umso mehr als sich die Benutzer in einem besorgniserregenden Ausmaß von ihrer Software „entfremdet“ haben.

Open Source ist dabei zu einer grundlegenden Komponente geworden. In der Tat enthalten 98 % der Software- und Internet-Codebasen und 96 % aller Unternehmenssoftware/Software-as-a-Service (SaaS) Open Source-Komponenten. Obwohl Open Source in alltäglich genutzter Unternehmenssoftware so weit verbreitet ist, enthalten 85 % der Codebasen Open Source-Komponenten, die seit mehr als vier Jahre veraltet sind, und 88 % verwenden Komponenten, die nicht der neuesten verfügbaren Version entsprachen. Die Zahlen sind alarmierend. Offensichtlich wird Software nicht ausreichend gepflegt, und die meisten Systeme sind dementsprechend nicht auf dem neuesten Stand. Bei veralteten Systemen aber steigt das Risiko, dass Schwachstellen erfolgreich von Cyberkriminellen ausgenutzt werden. Besonders erschreckend an diesem Befund ist der Grund, warum veraltete Systeme überhaupt existieren: Die meisten Firmen wissen nicht, was genau in ihren Systemen steckt, oder dass bereits eine aktualisierte Version verfügbar ist. Moderne Software stellt andere Anforderungen und erfordert an vielen Stellen besondere Aufmerksamkeit. Daran sind viele Unternehmen nicht gewöhnt beziehungsweise nicht ausreichend darauf vorbereitet.

Software- und Anwendungssicherheit sind mithin zu Kernkomponenten geworden, wenn es gilt, die geschäftliche Kontinuität zu wahren. Aber selbst die zuverlässigsten Anbieter sind nicht immun gegen Software-Bedrohungen. Angesichts der aktuellen und zu erwartenden Herausforderungen stellen sich nicht wenige Unternehmen die Frage, wie sie den richtigen Security-Partner finden.

Das Problem mit der Softwaresicherheit – So finden Sie den richtigen Partner

Fragen Sie einen beliebigen Sicherheitsverantwortlichen, und jeder wird Ihnen dasselbe sagen: Der kritischste Aspekt bei einer Sicherheitsverletzung ist der Faktor Zeit. Die Zeit, die ein Anbieter braucht, um zu erkennen, dass er angegriffen wurde, die Zeit, die er braucht, um seine Kunden zu benachrichtigen, die Zeit, die er braucht, um das Problem zu beheben, aufgrund dessen er überhaupt erst kompromittiert werden konnte, und die Zeit, die er braucht, um die Auswirkungen zu bewerten.

Das gilt analog für Software-Schwachstellen. Die Zero-Day-Schwachstelle in Log4j bildet in Sachen Schnelligkeit keine Ausnahme. Aber hier kommt eine weitere Hürde hinzu: die Zeit, die Firmen brauchen, um festzustellen, ob die Schwachstelle in ihren Systemen überhaupt vorliegt. Natürlich spielt das Tempo auch für den betreuenden Partner eine gewichtige Rolle.

Der ideale Partner ist allerdings einer, dessen Ziel es ist, das Risiko beim Kunden zu senken, bevor es sich überhaupt so massiv auswirken kann. Bei AppSec geht es darum, Schwachstellen zu erkennen, bevor sie zu Sicherheitsverletzungen führen. Unternehmen sollten Applikationssicherheit wie eine vorbeugende Medizin betrachten. Sie bewahrt die Gesundheit des Unternehmens, und wirkt, bevor ein Problem auftaucht, und nicht erst, wenn man eines beheben muss.

AppSec und Softwaresicherheit werden immer häufiger als Optionen für unternehmerisches Wachstum und Kundenbindung gesehen. Vermutlich sind aktuell nicht alle Partner mit dem Thema vertraut. Selbst dann nicht, wenn sie einen Hintergrund im Verkauf oder der Bereitstellung von Dienstleistungen in anderen Bereichen der Cybersicherheit haben. Deshalb ist es wichtig, Unterstützung in Form von Schulungen oder andere Möglichkeiten anzubieten, wie man Wissen aufbauen und erweitern kann.

Zwischen Software und ihren Benutzern haben sich Lücken aufgetan. Firmen müssen sich deshalb auf einen Partner verlassen können, der sie hinsichtlich einer vorausschauenden Sicherheit begleitet und dabei unterstützt, präventiv Maßnahmen zu ergreifen. Mit einem AppSec-Ansatz lässt sich jeder Teil der betreffenden Softwarelieferkette sichern, von der Codeentwicklung bis zum Testen von Softwarepaketen. AppSec hätte Log4Shell vermutlich nicht gänzlich verhindern können. Dennoch, ein proaktiver AppSec-Ansatz, flankiert von sorgfältigen und strengen Testroutinen, um zu verstehen, wie es um die Software einer Organisation bestellt ist, hätte die Auswirkungen schon im Vorfeld mindern können.

Was kommt als Nächstes auf den Channel zu?

Schwachstellen und Angriffe mit potenziell schwerwiegenden Auswirkungen nehmen weiter zu. Angesichts dessen wird es in sämtlichen Branchen zu einer grundlegenden Überarbeitung bestehender Sicherheitsstrategien kommen.

Um die Herausforderungen innerhalb der Softwarelieferkette zu meistern, sollten Channelpartner prüfen, wie und welche präventiven Sicherheitsmaßnahmen sie ergreifen wollen – und dabei den Endbenutzer im Blick behalten. Genauso wichtig wie die Auswahl der richtigen Technologie ist es für einen erfolgreichen Channelpartner, sich Zeit zu nehmen, die Funktionsweise einer Technologie zu demonstrieren und zu erläutern. Mit dem geeigneten Security-Partner sind Teams im Falle einer Sicherheitsverletzung jedenfalls deutlich besser gewappnet – ebenso wie die Systeme.

Themenseiten: Hacker, Synopsys

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Log4Shell und die Folgen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *