Feedback

Gepostet am 16. Dezember 2021 von  Tom Steyer, Senior Consultant bei Severn Consultancy und Maximilian Heinrich, Consultant bei Severn Consultancy in IT-Sicherheit

Kritische Sicherheitslücke entdeckt – Auch Finanzdienstleister können betroffen sein und müssen nun handeln

„Alarmstufe Rot“ meldete vergangenen Freitag das Bundesamt für Sicherheit in der Informationstechnik (BIS). Kurz zuvor wurde eine neue Sicherheitslücke im Internet bekannt, die Hackern ein Einfallstor auf fremde Server bietet. Das besondere hierbei: Die Lücke versteckt sich in einer harmlos anmutenden Programmbibliothek, die gerade bei Serveradministratoren sehr beliebt ist.

Sicherheitslücke zuerst im Computerspiel „Minecraft“ entdeckt

Die Liste der Betroffenen ist lang, dazu zählen auch namhafte Unternehmen wie Apple, Twitter und Google. Doch auch viele kleinere Unternehmen könnten betroffen sein, wenn sie auf ihrem Server Java nutzen und dabei die Bibliothek log4j verwenden. Das kleine Programm, das eigentlich dabei helfen soll, Aktivitäten auf dem Server zu protokollieren („log for java“), entpuppte sich Freitagnachmittag als ein Einfallstor für Hacker. Ein kleines Programm konnte dafür genutzt werden, um remote einen Code auszuführen. Im Nachgang konnte der Hacker die Kontrolle über den Server erlangen.

Bekannt wurde das Problem erstmals im bekannten Computerspiel Minecraft. Hier reichte es bereits aus, dass eine Chatnachricht im Spiel versendet wurde, um die Sicherheitslücke zu nutzen. Doch auch Apple war betroffen und auf Twitter verbreitete sich ein Screenshot, der zeigt, wie ein Nutzer über den iCloud-Namen auf den iCloud-Server eindringen konnte. Diese Sicherheitslücke wurde von Apple bereits wieder geschlossen.

Bedeutung für das Informationssicherheitsmanagement

Für Finanzinstitute und deren IT wird hier wieder einmal die hohe Bedeutung eines effektiven Informationssicherheitsmanagements klar. Dieses sollte eine laufende Überwachung der Bedrohungssituation und zeitnahe Analysen von Informationssicherheitsvorfällen beinhalten. Auch eine klare Rollen- und Zuständigkeitsklärung ist essenziell, um schnell und richtig zu reagieren und mögliche Schwachstellen gesamthaft zu schließen. Ebenso sollten verschiedene Ereignisszenarien definiert und getestet sowie Verfahren zur Reaktion auf Vorfälle festgelegt sein, um Auswirkungen zu mindern.

Derartige Prozesse und organisatorische Strukturen sind nicht nur sinnvoll, sondern auch von Aufsichtsbehörden gesetzlich verankert und für die IT insbesondere von Finanzinstituten verpflichtend umzusetzen. Hier sieht der Gesetzgeber besonderen Schutzbedarf, da hochsensible Kundendaten von Angriffen über Sicherheitslücken dieser Art betroffen sein können. Dies kann nicht nur den Verlust von Daten mit sich ziehen, sondern auch einen Vertrauensverlust der Kunden und wirtschaftlichen Schaden. Möglich sind auch von Aufsichtsbehörden verhängte Bußgelder.

So werden auf europäischer Ebene von der Europäischen Bankenaufsichtsbehörde (EBA) Richtlinien zu einem Rahmenwerk für das Management von Informations- und Kommunikationstechnologie vorgeschrieben. Weiter verlangt diese Richtlinie von den Unternehmen, dass sie eine Informationssicherheitsleitlinie erarbeiten und darin die übergeordneten Grundsätze und Regeln für den Schutz der Vertraulichkeit, Integrität, und Verfügbarkeit der Unternehmens- und Kundendaten festlegen. Auch werden konkrete Vorgaben zum IT-Betrieb gemacht, der insbesondere einen Vorfalls- und Problemmanagementprozess beinhaltet.

Hier gilt es, Prozesse in der IT aufgesetzt zu haben, die sicherstellen, dass Sicherheitsrisiken wie der „log4j“ Vorfall schnellstmöglich identifiziert, analysiert, ausgewertet, und behoben werden.

Abbildung 1: EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken vom 28. November 2019 (EBA/GL/2019/04) - Teilziffer 39.

Präzisiert werden diese auf Bundesebene unter anderem durch die Bankaufsichtlichen Anforderungen an die IT (BAIT) der BaFin mit konkreten Vorgaben zur Umsetzung. So müssen Prozesse unter anderem Schwachstellenmanagement, Verschlüsselung von Daten bei Speicherung und Übertragung, oder mehrstufigen Schutz der IT-Systeme berücksichtigen. Für die zeitnahe Analyse und Reaktion auf Vorfälle ist eine ständig besetzte zentrale Stelle, z.B. in Form eines Security Operation Centers oder einer Cyber Security Abteilung, gefordert. Auch die Umsetzung der regulatorischen Anforderungen im IT-Betrieb kann dazu beitragen, bei einem solchen Vorfall schnell einen Überblick über das Ausmaß der Schwachstelle zu gewinnen – so wird in den Anforderungen eine stetige Verwaltung der Komponenten von IT-Systemen beschrieben, die unter anderem den Bestand und Verwendungszweck mit den relevanten Konfigurationsangaben beinhalten soll.

Abbildung 2: Rundschreiben 10/2017 (BA) in der Fassung vom 16.08.2021 („BAIT“) - Teilziffer 5.5

Hier zeigt sich in den Unternehmen, wie schnell die IT-Sicherheit auf Vorfälle reagiert und die wichtigsten Informationen an relevante Abteilungen weiterleitet, um die Schließung von Sicherheitslücken und auch Auswertung der möglichen unberechtigten Zugriffe und damit verbundenen Schäden umzusetzen.

Fragen Sie sich selbst: Wann hat Ihr Unternehmen von der Sicherheitslücke erfahren und wie lange hat es gedauert, bis sie geschlossen werden konnte? Bekanntwerdende Sicherheitslücken sind oft ein guter Lackmustest, um zu überprüfen, wie schnell die Prozesse reagieren. Bleiben Sie auf dem Laufenden, über die Cyber-Sicherheitswarnungen des BSI.

Ebenso bieten wir Ihnen an, Ihr Unternehmen einer Gap-Analyse hinsichtlich IT-Compliance zu unterziehen. Unser praxiserprobtes Verfahren kann Ihnen schnell einen guten Überblick darüber geben, ob Sie für den nächsten Sicherheitsvorfall gerüstet sind.


Zum Kontaktformular


Login 



Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.