Die Taktzahl der großen Schwachstellen in eigentlich als vertrauenswürdig eingestuften Softwaresystemen legt deutlich an Geschwindigkeit zu. Nach OpenSSL (Heartbleed), Microsoft (Hafnium), SolarWinds, Kaseya und Treck (Ripple20) geraten der verbreitete Webserver Apache und andere Software mit Log4Shell als nächste große Namen ins Scheinwerferlicht der CVE-Schwachstellensammlung. Anlass ist Log4Shell, eine Zero-Day-Schwachstelle in der Java-Bibliothek Log4j. Der Vorfall zementiert weiter, was für Cybersicherheitsverantwortliche langsam eine geradezu frustrierende Klarheit annimmt: Es gibt keine hundertprozentige Sicherheit und erst Recht keine Ruhe. Die Log4Shell-Lücke in Log4j gefährdet hierbei gleich alle Grundfeste der Cybersicherheit: Verfügbarkeit, Integrität und Vertraulichkeit.

Urknall für Angriffswellen der nächsten Jahre

Was Log4Shell besonders gefährlich macht, ist nicht nur die Einfachheit und Direktheit, mit der Angreifende Zugriff auf Netzwerke erhalten können. Per nicht authentifizierter Remote Code Execution (RCE) – also gänzlich ohne Passwort oder anderweitige Authentifizierung – können Angreifende mit dem Internet verbundene Server dazu bringen, Malware herunterzuladen und zu installieren. Es ist vor allem die langfristige Gefährdung von Netzwerken, die zu Bedenken gibt. 

Log4Shell liefert quasi den Urknall für die Cybersicherheitsangriffe der nächsten Jahre – vom trivialen Cryptominer über lukrative Ransomware-Angriffe bis zu großflächigen Attacken auf Kritische Infrastrukturen. Denn selbst wer die Schwachstelle mittlerweile gepatcht hat, kann sich nicht in Sicherheit wägen:

1. Die Sicherheitslücke, mittlerweile als CVE-2021-44228 dokumentiert, existiert bereits seit über einem Jahr.
2. Die Information dazu wurde veröffentlicht, bevor ein Patch verfügbar war, was allen – vom Script Kiddie bis zur Advanced Persistent Threat (APT) – meilenweiten Vorsprung bei der Ausnutzung gewährte. Das BSI bestätigte jüngst die starke Zunahme an Scan-Aktivitäten nach verletzbaren Systemen im Internet.
3. Die Schwachstelle erlaubt eine Vielzahl an Angriffsvektoren, was die Flexibilität und Variabilitäten der Angriffssignaturen massiv erhöht.
4. Die Java-Bibliothek Log4j versteckt sich in einer unübersichtlichen Anzahl von Systemen und Anwendungen. Das BSI schreibt hierzu »Die Bibliothek wird häufig von Softwareherstellern in die Auslieferungsdateien der eigenen Software direkt integriert und ist daher unabhängig von der auf dem Betriebssystem allgemein installierten Bibliotheksversion«.
5. Die Log4Shell-Sicherheitslücke ist nicht nur »Tag der offenen Tür«, sondern wirkt wie eine »Staatsanleihe«. Angreifende können die Chance des Zugriffs nutzen, um in den Netzwerken Payloads zu verstecken und Backdoors zu installieren, die auch in 20 Jahren noch gewinnbringend genutzt werden können. Log4Shell bietet somit insbesondere für staatliche Akteure und Advanced Persistent Threats die einzigartige Chance einer strategischen Investition, die jedem Firewall-Update der nächsten Jahre trotzt. 

In der Endkonsequenz sollte jedes Unternehmen davon ausgehen, dass sein Netzwerk längst kompromittiert ist. Mit Log4Shell hatten Angreifende über ein Jahr lang eine gute Chance, den schwierigsten und entscheidendsten Schritt für einen Cyberangriff, den Erstzugriff auf das Netzwerk, erfolgreich abzuschließen, bevor es bemerkt wurde. So meldete Microsoft, dass seit Bekanntmachung der Schwachstelle auch Schadsoftware wie Cobalt Strike wieder zunehmend auftaucht. Das Tool ist beliebt bei Pentestern und Cyberkriminellen, um Zugriff auf Netzwerke zu erlangen, diese zu festigen sowie Netzwerkinformationen zu sammeln und zu stehlen – kurz, eine effektive Hintertür zu installieren.

Kritische Infrastrukturen besonders gefährdet

Log4Shell ist aus diesem Grund auch – und gerade – für Industrieunternehmen und Kritische Infrastrukturen eine massive Gefährdung. Zum einen basiert hier ein Großteil der Sicherheit auf der Sicherung der Zugänge, also der Perimeter. Das Innenleben vor allem der industriellen (Operational Technology, OT) Netzwerke ist weitestgehend ungesichert. Eine bestehende Infektion bleibt in der Regel durch mangelnde Sichtbarkeit monate- oder jahrelang unentdeckt. Zum anderen haben in diesen Sektoren bereits in der Vergangenheit Angreifende einen überaus langen Atem und den Willen zum Warten bewiesen. 

Der Erkenntnisse zu der Schwachstelle in der Java-Bibliothek Log4j zeigt vor allem, dass Unternehmen weder den Angriffssignaturen ihrer Sicherheitsdienstleister noch dem Sicherheitsversprechen ihrer Lieferanten von Hardware und Software vertrauen können. Die bereits oben genannten Schwachstellen bilden mit Log4Shell sehr vermutlich nur die Spitze des sprichwörtlichen Eisbergs. Unsichere Systeme, neuartige Schwachstellen (Zero Day Vulnerabilities), fehlende Grundsicherheit (im Sinne eines Security by Design) sind längst das neue Normal in der OT. Und es wird Zeit, auf diese Realität angemessen zu reagieren.

 Defense-In-Depth-Strategien umfassen nicht nur die Grenzüberwachung, sondern auch die Innere Sicherheit. OT-Monitoring und Threat Detection schaffen den Blick ins Innere des Netzwerkes

Angriffserkennung mit Blick nach Innen

Vertrauen ist zwar gut, doch Kontrolle noch immer die einzige Option. Im Cybersicherheitsfeld verbirgt sich dahinter das bekannte Prinzip der Defense In Depth. Sie kombiniert verschiedene Komponenten, die aktive und passive Maßnahmen, Verhaltensanalyse und Schlussfolgerungen, Segmentierung und organisatorische Maßnahmen umfassen. Ziel ist es, sowohl unbekannte Bedrohungsvektoren als auch Durchbrüche einer Verteidigungslinie (in der Regel Firewalls und Authentifizierungsmaßnahmen), wie sie durch Log4Shell ermöglicht werden, zu erkennen, einzudämmen und abzuwehren. Klassische Cybersicherheit konzentriert sich dagegen noch immer auf die Ersterkennung und Abwehr direkt am Eingang zum Netzwerk (dem Stadttor und der Stadtwall auf der obigen Abbildung).

Die Netzwerkkarte des Next Generation OT Intrusion Detection Systems liefert detaillierte Informationen zum OT-Aufbau und dem Kommunikationsverhalten aller Systeme und Applikationen

In der Praxis der OT-Sicherheit wird die entscheidende zweite Verteidigungslinie über ein OT-Monitoring mit Threat und Intrusion Detection erreicht. Das OT-Monitoring sitzt (siehe erste Abbildung) auf den Kirchtürmen, um ein komplettes Bild des Innenlebens eines Netzwerkes zu erhalten. Zum einen schafft dies vollständige Sichtbarkeit in der OT. Die Threat Detection gleicht kontinuierlich die aktuelle Kommunikation mit der zu erwartenden, erlaubten ab und meldet Abweichungen. Dadurch werden auch untypische, verdächtige Veränderungen im Kommunikationsverhalten identifiziert, die neuartig sind und auf bösartiges Verhalten hinweisen – von der Kommunikation über Backdoors, über laterale Bewegungen und Spoofing-Aktivitäten bis zum direkten Eingriff in industrielle Prozesse. Aktionen von Angreifenden innerhalb des OT-Netzwerkes werden in Echtzeit sichtbar, nachvollziehbar und bekämpfbar, selbst wenn diese bislang unbekannte Signaturen nutzen. 

In der Realität unbekannter Schwachstellen und multipler Angriffsvektoren ist eine zweite Verteidigungslinie essentiell, um flexibel und sicher auf die sich ständig verändernde Gefährdungslage reagieren zu können.