Programmieren: Abhängigkeiten systematisch erkennen und auswerten

Inhaltsverzeichnis

Die Sicherheitslücke in der Java-Log-Bibliothek Log4j löste Ende 2021 Schockwellen in vielen Unternehmen aus. Eine harmlose Logging-Bibliothek konnten Angreifer leicht dazu überreden, Schadcode aus dem Internet zu laden. Was Admins und Beobachter überraschte, war nicht nur, dass eine ziemlich leicht zu missbrauchende Funktion so lange in einer so verbreiteten Bibliothek wie Log4j überleben konnte.

Überraschend war vor allem das Treiben in vielen IT-Abteilungen – hektisch wurden vielerorts per Hand Tabellen mit verwendeter Software zusammengetragen und auf den Suchbegriff "Java" gefiltert. Dann begann eine mühsame Suche, bei eigener Software im Quellcode, bei gekaufter Software in Dokumentationen und mit Mails an den Hersteller. Die verzweifelten Fragen: "Wo zur Hölle könnte in unserem Netzwerk Log4j stecken? Haben wir vielleicht etwas übersehen?" Probleme, die sich nicht auf Mittelständler mit Admin-Einzelkämpfern beschränkten.

Mehr zu Unternehmens-IT und Security

• Layer 8 – Der Faktor Mensch in Bezug auf Unternehmenssicherheit
• Sicherheits- und Incident-Management mit Wazuh​
• BSI: Warnungen zur IT-Sicherheit ernstnehmen
• Auswirkungen des Ukrainekriegs auf die IT-Sicherheit in Deutschland
• Überblick zu IT-Versicherungsschutz für kleine Unternehmen und Freelancer
• Ransomware-Angriffsmuster und die wichtigsten Schritte zum Schutz dagegen
• Wie Ransomware-Angriffe heute ablaufen
• Security: So arbeiten Incident-Response-Teams nach einem Ransomeware-Angriff
• IT-Recht: Sicherheitsanforderungen und Rechtsfragen zu Ransomware-Attacken
• Sicherheitsrisiken in der IT: OWASP Top 10 in neuer Version
• OKR-Einführung: häufige Fehler und wie sie dennoch gelingt
• Unternehmens-IT: Wie sich Managed Services wandeln
• Endgerätesicherheit und EDR-Tools: Gefahren schnell erkennen und reagieren
• Cybercrime: Ransomware-Entwicklung führt zu neuen Bekämpfungsstrategien
• Identity and Access Management der Zukunft: digitales Business, Zero Trust, SASE
• IT-Sicherheit: Ransomware-Attacken verhindern durch Security Learning Center
• IT-Grundschutz: BSI-Anforderungen für Container und Kubernetes
• IT-Security: Trainings als Vorbereitung für Sicherheitsvorfälle im Unternehmen
• IT-Security: PetitPotam und andere Wege, die Kontrolle über das AD zu übernehmen
• Incident Response und Forensik: Angreifer durch Logs enttarnen
• Cloud-Sicherheit: Cloud Security Operations Center im Vergleich

Unsere Redaktion erreichten auch Berichte, wie die IT-Abteilungen großer Konzerne mit der Frage umgingen. Selbst wenn es einen CISO (Chief Information Security Officer) und ganze Teams für IT-Sicherheit gab, gingen interne Mails an alle Abteilungen und ihre Leitungen. Die sollten schnellstmöglich prüfen und bestätigen, dass die eingesetzten Anwendungen frei von Log4j oder abgesichert seien.

Das war die Leseprobe unseres heise-Plus-Artikels "Programmieren: Abhängigkeiten systematisch erkennen und auswerten ". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.