Thema "Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?" in Wertpapiere & Anlage

log4j Sicherheitslücke - Auswirkungen auf Kurse?

MLTTMoon — Sun, 12 Dec 2021 16:59:22 GMT

Hi Community,

gibt es eine Bewertung zu der Sicherheitslücke und deren eventuellen Auswirkungen auf die Kurse in den kommenden Tagen? Ich arbeite in der Branche und habe so etwas schon lange nicht mehr gesehen. Das BSI stuft die Sicherheitslücke mit dem höchstmöglichen Wert ein - Warnstufe Rot. Da es eine ZeroDay Sicherheitslücke ist, haben die Hacker einen enormen Vorsprung. Gibt es hier jemanden, der sich damit auseinandersetzt und Erfahrungen hat, ob und wie sich das auf die Kurse auswirken kann?

Hier ein weniger technischer Artikel: https://www.handelsblatt.com/technik/it-internet/java-bibliothek-log4j-warnstufe-rot-sicherheitsluecke-gefaehrdet-die-it-zahlreicher-unternehmen/27885628.html

Und hier etwas technischer: https://www.heise.de/news/Roter-Alarm-Log4j-Zero-Day-Luecke-bedroht-Heimanwender-und-Firmen-6292863.html

Und hier bereits bekannte betroffene Dienste/Projekte: https://github.com/YfryTchsGD/Log4jAttackSurface

Danke @Zilch für den Tipp, einmal hier nachzufragen.

Viele Grüße

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

ehemaliger Nutzer — Sun, 12 Dec 2021 17:47:52 GMT

Auf Unternehmenskurse wird diese Sicherheitslücke logischerweise nur Auswirkungen haben, falls sie auch ausgenutzt wird und dadurch ein Schaden entsteht. Am Freitag (abends, nachts, auch Samstag) gab es zumindest bei einigen Kunden meines AGs entsprechende Prio-Calls, um die Version der betroffenen Software zu updaten.

Problematisch dürfte sein, dass Java und auch diese Log-Biblitothek (gerade) im deutsche Raum viel eingesetzt wird. Wenn die entsprechend Verantwortlichen (bspw. Product Owner) das nicht rechtzeitig mitbekommen, ist dieser Angriffsvektor unnötig lange geöffnet und das kann dann zu Schaden führen. Vermutlich dürften aber alle Unternehmen, die jetzt rechtzeitig reagieren (oder das schon haben), keine großartigen Probleme bekommen. Und schon gar keine negativen Kursauswirkungen. Sicherheitslücken gibt es immer, das ist vollkommen normal. Wichtig ist nur, dass man nach Kenntnis (und Beurteilung) entsprechend schnell handelt und nicht fahrlässig Sicherheitsprobleme ignoriert.

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

Tom3164 — Sun, 12 Dec 2021 18:20:13 GMT

nein. Denke noch nicht.

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

ehemaliger Nutzer — Sun, 12 Dec 2021 20:11:18 GMT

Wieder eine Java-Sicherheitslücke. Ach ja. Wie schlimm.
Java ist - unter den Programmier-Sprachen - doch schon seit Jahrzehnten als die absolut schlimmste Seuche bekannt, die man sich vorstellen kann. Also hoffe ich mal, dass Unternehmen kritische IT-Bereiche von Java-Einfluss freihalten.
Ein bisschen Arbeit wird wohl machen, dass Verbindungen Home-Office -> Unternehmen überprüft werden müssen.
(Ich bin nur engagierter Privat-Computer-Nutzer, stehe ein bisschen über DAU 😉, nehme aber nicht an, dass ich die Lage komplett falsch einschätze).

Was man allerdings nicht tun sollte - das gilt aber schon länger 😉:
Jeder Smart-Home-Anwendung vertrauen. Insbesondere auch Smart-TVs.
Vor allem dann, wenn das Gerät eine Kamera hat. 😋 Da konnten Hacker schon vor der aktuellen Java-Sicherheitslücke zuschauen, was "Mann" mit der Liebsten auf dem Sofa oder im Schlafzimmer treibt.
scnr

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

apexx — Sun, 12 Dec 2021 20:42:15 GMT

Oder mit deM Liebsten. Habe ihn gefragt, da er hauptberuflich damit zu tun hat - er teilt die Einschätzung 🙂

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

MLTTMoon — Sun, 12 Dec 2021 20:51:45 GMT

Danke für dein Feedback @ehemaliger Nutzer

Die Gefahr, die ich hier sehe ist nicht der entstandene Schaden, sondern der potentielle. Und das auf Grund von folgenden Informationen, die log4j besonders gefährlich machen im Vergleich zu "normalen" Vulnerabilities in Java und Co:

1) es kann jeder User problemlos anwenden und ausnutzen (kein Expertenwissen erforderlich)

2) Es muss kein Download oder Nachladen von Schad-Codes bzw. eine Installation oder Vergleichbares erfolgen. Die Lücke ist da und muss nur aktiviert werden. That's it. Firewall, Crowdstrike und Co helfen hier nicht weiter

3) Na klar ... der vielfältige und flächendeckende Einsatz von Java in OS und Applications

Es ist die Kombination, die ich und meine Kollegen (die seit 4d non-stopp aktiv sind) so in der Form nur selten gesehen haben.

Es geht hier sehr in die Cyber-Security. Dafür ist es die falsche Community. Was ich teilen möchte, sind meine Bedenken auf Grund der starken und realistischen Auswirkungen dieser Sicherheitslücke und deren durchaus berechtigte Auswirkung auf Tech-Werte bevor etwas schlimmes passiert. Es zeigt wie verletzlich diese Branche ist, nicht hilflos, aber angreifbar.

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

Zilch — Sun, 12 Dec 2021 20:53:42 GMT

@apexx schrieb:
Oder mit deM Liebsten. Habe ihn gefragt, da er hauptberuflich damit zu tun hat - er teilt die Einschätzung 🙂

Wen hast du gefragt?

Hauptberuflich womit zu tun?

Welche Einschätzung teilt "er"?

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

MLTTMoon — Sun, 12 Dec 2021 20:58:45 GMT

Danke auch an alle anderen, die hier Antworten und mitlesen.

Nachbrenner: Ich habe genügend Tech-Werte im Depot und werde natürlich selbst sehen, was passiert. Adhoc-Reaktionen sind erstmal ausgeschlossen.

Den vertraue ich öfters: https://www.kaspersky.com/blog/log4shell-critical-vulnerability-in-apache-log4j/43124/

Und die machen Ihren Job (Updates in der PDF): https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html

Schönen Sonntag Abend euch allen!

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

ehemaliger Nutzer — Sun, 12 Dec 2021 21:47:14 GMT

gelöscht.
Ich war mal wieder böse gewesen. (Unbedacht böse).

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

Thorsten_ — Mon, 13 Dec 2021 10:46:24 GMT

@ehemaliger Nutzer schrieb:
...
Java ist - unter den Programmier-Sprachen - doch schon seit Jahrzehnten als die absolut schlimmste Seuche bekannt, die man sich vorstellen kann.
...
(Ich bin nur engagierter Privat-Computer-Nutzer, stehe ein bisschen über DAU 😉, nehme aber nicht an, dass ich die Lage komplett falsch einschätze).

Das sind doch mal fundierte Aussagen!

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

ehemaliger Nutzer — Mon, 13 Dec 2021 15:20:05 GMT

@Thorsten_ schrieb:
Das sind doch mal fundierte Aussagen!

Das ist gemein! 😉
Wenn das ironisch oder sarkastisch gemeint ist, ist es so neutral gehalten, dass man nicht mit dem Finger drauf zeigen kann. Es hat mich jedenfalls verunsichert.
Diese Verunsicherung hat mich dazu getrieben, dass ich mich in einer NG - in der ich früher viel gelesen habe - zum Ei gemacht habe: Mit der Frage, wie kritisch diese Sicherheitslücke für Unternehmen ist. Es ist die Newsgroup:
de.comp.os.ms-windows.misc
Da schreiben ein paar Leute, die wirklich Ahnung von Sicherheitsfragen (IT) auf Unternehmens-Ebene haben. Wenn ich dort eine vernünftige Antwort bekomme melde ich mich wieder.

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

apexx — Mon, 13 Dec 2021 17:44:26 GMT

@Zilch schrieb:
@apexx schrieb:
Oder mit deM Liebsten. Habe ihn gefragt, da er hauptberuflich damit zu tun hat - er teilt die Einschätzung 🙂
Wen hast du gefragt?
Hauptberuflich womit zu tun?
Welche Einschätzung teilt "er"?

Verzeih, ich habe die Zitierfunktion nicht adäquat genutzt.

- Gefragt habe ich "den Liebsten", im Bezug und als Antwort auf den Beitrag von @ehemaliger Nutzer

- Dieser arbeitet in der IT-Abteilung in einer der größeren deutschen Unternehmen, die von der Sicherheitslücke betroffen sind in einer Position, die mit solchen Sicherheitslücken zu tun hat

- mit "Einschätzung teilen" meinte ich (zu kurz ausgedrückt), dass das "schon wieder" eine Sicherheitslücke ist, die aber wohl schnell behoben werden kann, da entsprechende Update-Aufforderungen früh rausgegangen sind etc..

Mittlerweile ist das ja sowieso überholt, daher lass es uns dabei belassen 🙂

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

ehemaliger Nutzer — Mon, 13 Dec 2021 21:43:21 GMT

@apexx schrieb:
Verzeih, ich habe die Zitierfunktion nicht adäquat genutzt.

Das hättest du nicht schreiben müssen. Man muss nicht immer zitieren. Vor allem dann nicht, wenn man auf einen Beitrag antwortet, der direkt über dem eigenen steht. Wenn jemand aufmerksam liest, muss er diesen Zusammenhang erkennen. 😉

Ich denke, Zilch wollte genaueres zu der Person wissen, die "die Einschätzung" teilt.

Habe das Usenet jetzt aufgescheucht. 😉 Ob da - jedenfalls demnächst - eine Antwort kommt, ist fraglich. Die haben jetzt alle zu tun. 😋

Weiteren Unfug, den ich geschrieben habe, entfernt.
Endfassung 😉:
Es scheint wohl so zu sein:
- Es sind wohl vor allem Online-Plattformen bedroht und
- "End-Geräte" (wie iPhones und Teslas), die Verbindung zu einem Service halten.
- Auch Verbindungen Home-Office -> Unternehmen.

Schauen wir einfach mal, was wird.

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

DrTool — Mon, 13 Dec 2021 22:48:04 GMT

Das Problem ist ganz einfach, dass Apache für Webserver eine weitverbreitete Standardsoftware ist.

"Pennt" die Systemadministration eines Dienstanbieters, auf dem man Daten in irgendeiner Form hinterlassen hat und wird deren System wegen dieser Schwachstelle übernommen, sind alle Userdaten potentiell kompromittiert.

Unter Umständen sehr schädlich, wenn dann so Sachen wie Login Credentials oder gar Kreditkarteninformationen abgegriffen und mißbraucht werden.

Für Privatuser ist die Gefahr, dass das eigene System gehackt wird gering, weil Normaluser in der Regel keinen Webserver auf Apache im Homecomputer betreiben und Java im Privatumfeld weitgehend ausgelaufen ist.

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

Zilch — Tue, 14 Dec 2021 05:52:02 GMT

@ehemaliger Nutzer schrieb:
Das hättest du nicht schreiben müssen. Man muss nicht immer zitieren. Vor allem dann nicht, wenn man auf einen Beitrag antwortet, der direkt über dem eigenen steht. Wenn jemand aufmerksam liest, muss er diesen Zusammenhang erkennen. 😉

Absoluter Blödsinn. Man muss nicht immer zitieren, es ging auch nicht darum wem er/sie antwortet. Dass er/sie dir antwortet war klar, weil er/sie im ersten Satz direkt auf dich eingegangen ist. Aber es hätte nicht deutlicher gemacht, wer gefragt wurde und welche Einschätzung genau geteilt worden wäre. Zitieren hin oder her, es hätte dieselben Fragen zur Folge gehabt. Ob man Zusammenhänge erkennen muss... uff. Solch ein Satz und dann selber solch eine Tatsache nicht erkennen.... das muss am Alter liegen. Zu starker Tobak am Morgen.... oi.

@ehemaliger Nutzer schrieb:
Es scheint wohl so zu sein:
- Es sind wohl vor allem Online-Plattformen bedroht und
- "End-Geräte" (wie iPhones und Teslas), die Verbindung zu einem Service halten.
- Auch Verbindungen Home-Office -> Unternehmen.

Das ist nichts Neues und geht aus den Artikeln bereits hervor. Das MUSS man erkennen, wenn man die Artikel gelesen oder gar nur überflogen hat.

Danke für das Nachfragen, ich bin gespannt was die antworten.

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

ehemaliger Nutzer — Tue, 14 Dec 2021 22:50:54 GMT

@Zilch schrieb:
Danke für das Nachfragen, ich bin gespannt was die antworten.

Da wird wohl leider nicht wirklich was kommen (ich bin zu optimistisch gewesen in dieser Hinsicht). Hatte speziell gehofft, dass eine bestimmte Person antworten würde. Über diese Person bilde ich mir ein, vor vielen Jahren herausgefunden zu haben, dass sie für das Software-Rollout bei Volkswagen verantwortlich ist.

Er schreibt aber nur noch wenig im Usenet und bisher kam von ihm nix.

@DrToolfinde ich, hat es schön und prägnant zusammengefasst.

Kleines Beispiel zum Schluß: Apple scheint bekannt dafür zu sein, dass es sich - was den Anspruch der Kundschaft auf sichere Software betrifft - herzlich wenig um seine Kunden schert... Hat das dem Kurs bisher geschadet?

Ich glaube (das heißt, ich weiß es nicht 😉) es wird höchstens einzelne Firmen treffen und die auch nur minimal und temporär.
Beobachten wir weiter. 😊

Betreff: log4j Sicherheitslücke - Auswirkungen auf Kurse?

DrTool — Thu, 16 Dec 2021 17:13:32 GMT

Hallo,

auf dieser von Enthusiasten zusammengetragenen unvollständige Liste kann man nachsehen, ob man einen "seinen" Ausrüster findet.

Hilft nur begrenzt, weil man ja nicht weiß, welche Softwarefirma den Webshop ausgestattet hat, bei dem man neulich eingekauft hat, usw, usf.

Aber man kann z.B. ausschließen, dass die Synology NAS im Keller heimlich umprogrammiert wird.

bye