Hinweis: Der folgende Artikel hilft Ihnen weiter: FTC: Schützen Sie Verbraucherdaten vor Log4J-Angriffen oder drohen Sie rechtlichen Schritten
Die US-amerikanische Federal Trade Commission (FTC) hat angesichts der jüngsten Angriffe, die eine Schwachstelle in Log4J ausnutzen, einem Java-Protokollierungsframework, das von Millionen von Geräten und Systemen weltweit verwendet wird, eine deutliche Warnung an Unternehmen gesendet, die Verbraucherdaten speichern.
Erst vor wenigen Wochen wurde die Schwachstelle entdeckt – genannt Log4Shell – erregte große Aufmerksamkeit in den Medien, nachdem es von Medien und Sicherheitsexperten gleichermaßen als der schlimmste Softwarefehler „möglicherweise in der Geschichte des modernen Computing“ bezeichnet wurde.
Da die FTC plant, Unternehmen zu verfolgen, die den Verbrauchern keinen angemessenen Schutz bieten, ist es im Interesse des Kunden und des Unternehmens von größter Bedeutung, dass die Sicherheitsbestimmungen aktualisiert werden.
Bestrafung gedankenloser Unternehmen
Die FTC hat klargestellt, dass sie es nutzen wird die volle Kraft des Gesetzes um sicherzustellen, dass durch Angriffe, die die Log4J-Schwachstelle ausnutzen, so wenig Verbraucherdaten wie möglich gelöscht oder gestohlen werden.
Unternehmen, die dies nicht tun, drohen wahrscheinlich Bußgelder in Höhe von mehreren Millionen Dollar und möglicherweise andere rechtliche Schritte, sagt die Agentur und verweist auf ihre Einigung mit Equifax in Höhe von 700 Millionen US-Dollar im Jahr 2019 für den Fall, dass jemand daran denkt, ihren Bluff aufzudecken.
Die Regulierungsbehörde hat außerdem vier Schritte festgelegt, die für Benutzer der Log4J-Softwarebibliothek erforderlich sind:
- Aktualisieren Sie Ihr Log4j-Softwarepaket auf die aktuellste Version, die Sie hier finden:https://logging.apache.org/log4j/2.x/security.html
- Konsultieren CISA-Leitfaden um diese Schwachstelle abzumildern.
- Stellen Sie sicher, dass Abhilfemaßnahmen ergriffen werden, damit die Praktiken Ihres Unternehmens nicht gegen das Gesetz verstoßen. Das Versäumnis, Instanzen dieser Software zu identifizieren und zu patchen, kann zu Verstößen führendas FTC-Gesetz.
- Geben Sie diese Informationen an alle relevanten Drittunternehmen weiter, die Produkte oder Dienstleistungen an möglicherweise gefährdete Verbraucher verkaufen.
Vor ihrer Warnung an den privaten Sektor ordnete die Regierung letzten Monat an, dass alle zivilen Exekutivbehörden des Bundes (wie das Landwirtschaftsministerium und das Verteidigungsministerium) Maßnahmen ergreifen sollen, um die von Log4Shell ausgehende Bedrohung einzudämmen.
Was ist die Log4J-Sicherheitslücke?
Kurz gesagt handelt es sich bei Log4Shell um eine Schwachstelle im Open-Source-Protokollierungstool Log4J, das Teil der Apache-Codebibliothek ist. Es handelt sich um eine Zero-Day-Schwachstelle, was bedeutet, dass Hacker sie bereits ausnutzten, lange bevor sie als Problem erkannt wurde.
Log4Shell ermöglicht die Remote-Codeausführung, was es ziemlich gefährlich macht – bösartige Datenfolgen müssen lediglich von der anfälligen Komponente von Log42 verarbeitet werden, und dann sind den Möglichkeiten eines Bedrohungsakteurs kaum Grenzen gesetzt
Auch das Sicherheitsteam von Microsoft am Montag erklärt dass „die Schwachstellen aufgrund der Natur von Log4J als Komponente nicht nur Anwendungen betreffen, die anfällige Bibliotheken verwenden, sondern auch alle Dienste, die diese Anwendungen verwenden, sodass Kunden möglicherweise nicht ohne weiteres wissen, wie weit verbreitet das Problem in ihrer Umgebung ist.“
Was soll ich tun, wenn mein Unternehmen Log4J verwendet?
Nun, die Chancen stehen gut, dass Sie es verwenden, zumindest irgendwo in Ihren Systemen. Wenn dies der Fall ist, besteht die optimale Maßnahme zum jetzigen Zeitpunkt darin, sowohl im Interesse Ihrer Kunden als auch Ihres Unternehmens den Leitlinien der FTC zu folgen und die zu konsultieren CISA-Leitfaden auf die in den Anweisungen der FTC verwiesen wird.
Wenn Sie von den Sicherheitsvorkehrungen Ihres Unternehmens nicht überzeugt sind, ist es möglicherweise an der Zeit, über eine Prüfung und ein anschließendes Upgrade nachzudenken. Denn wie Microsoft sagt: „Unternehmen erkennen möglicherweise nicht, dass ihre Umgebungen möglicherweise bereits kompromittiert sind“, und Kunden sollten eine „zusätzliche Überprüfung der Geräte durchführen, auf denen anfällige Installationen entdeckt werden“.
Wichtig: das Neueste und Zuverlässigste Antiviren Software Das Budget Ihres Unternehmens reicht dafür aus – und die neueste Version/Iteration dieser Software stellt wiederum sicher, dass Sie jegliche Malware entfernen können, die möglicherweise über den Exploit in Ihr Gerät eingeschleust wurde.
