comdirect

MLTTMoon · ‎12.12.2021

Hi Community,

gibt es eine Bewertung zu der Sicherheitslücke und deren eventuellen Auswirkungen auf die Kurse in den kommenden Tagen? Ich arbeite in der Branche und habe so etwas schon lange nicht mehr gesehen. Das BSI stuft die Sicherheitslücke mit dem höchstmöglichen Wert ein - Warnstufe Rot. Da es eine ZeroDay Sicherheitslücke ist, haben die Hacker einen enormen Vorsprung. Gibt es hier jemanden, der sich damit auseinandersetzt und Erfahrungen hat, ob und wie sich das auf die Kurse auswirken kann?

Hier ein weniger technischer Artikel: https://www.handelsblatt.com/technik/it-internet/java-bibliothek-log4j-warnstufe-rot-sicherheitsluec...

Und hier etwas technischer: https://www.heise.de/news/Roter-Alarm-Log4j-Zero-Day-Luecke-bedroht-Heimanwender-und-Firmen-6292863....

Und hier bereits bekannte betroffene Dienste/Projekte: https://github.com/YfryTchsGD/Log4jAttackSurface

Danke @Zilch für den Tipp, einmal hier nachzufragen.

Viele Grüße

Listener · ‎12.12.2021

Auf Unternehmenskurse wird diese Sicherheitslücke logischerweise nur Auswirkungen haben, falls sie auch ausgenutzt wird und dadurch ein Schaden entsteht. Am Freitag (abends, nachts, auch Samstag) gab es zumindest bei einigen Kunden meines AGs entsprechende Prio-Calls, um die Version der betroffenen Software zu updaten.

Problematisch dürfte sein, dass Java und auch diese Log-Biblitothek (gerade) im deutsche Raum viel eingesetzt wird. Wenn die entsprechend Verantwortlichen (bspw. Product Owner) das nicht rechtzeitig mitbekommen, ist dieser Angriffsvektor unnötig lange geöffnet und das kann dann zu Schaden führen. Vermutlich dürften aber alle Unternehmen, die jetzt rechtzeitig reagieren (oder das schon haben), keine großartigen Probleme bekommen. Und schon gar keine negativen Kursauswirkungen. Sicherheitslücken gibt es immer, das ist vollkommen normal. Wichtig ist nur, dass man nach Kenntnis (und Beurteilung) entsprechend schnell handelt und nicht fahrlässig Sicherheitsprobleme ignoriert.

Tom3164 · ‎12.12.2021

nein. Denke noch nicht.

ehemaliger Nutzer · ‎12.12.2021

Wieder eine Java-Sicherheitslücke. Ach ja. Wie schlimm.
Java ist - unter den Programmier-Sprachen - doch schon seit Jahrzehnten als die absolut schlimmste Seuche bekannt, die man sich vorstellen kann. Also hoffe ich mal, dass Unternehmen kritische IT-Bereiche von Java-Einfluss freihalten.
Ein bisschen Arbeit wird wohl machen, dass Verbindungen Home-Office -> Unternehmen überprüft werden müssen.
(Ich bin nur engagierter Privat-Computer-Nutzer, stehe ein bisschen über DAU 😉, nehme aber nicht an, dass ich die Lage komplett falsch einschätze).

Was man allerdings nicht tun sollte - das gilt aber schon länger 😉:
Jeder Smart-Home-Anwendung vertrauen. Insbesondere auch Smart-TVs.
Vor allem dann, wenn das Gerät eine Kamera hat. 😋 Da konnten Hacker schon vor der aktuellen Java-Sicherheitslücke zuschauen, was "Mann" mit der Liebsten auf dem Sofa oder im Schlafzimmer treibt.
scnr

apexx · ‎12.12.2021

Oder mit deM Liebsten. Habe ihn gefragt, da er hauptberuflich damit zu tun hat - er teilt die Einschätzung 🙂

MLTTMoon · ‎12.12.2021

Danke für dein Feedback @Listener

Die Gefahr, die ich hier sehe ist nicht der entstandene Schaden, sondern der potentielle. Und das auf Grund von folgenden Informationen, die log4j besonders gefährlich machen im Vergleich zu "normalen" Vulnerabilities in Java und Co:

1) es kann jeder User problemlos anwenden und ausnutzen (kein Expertenwissen erforderlich)

2) Es muss kein Download oder Nachladen von Schad-Codes bzw. eine Installation oder Vergleichbares erfolgen. Die Lücke ist da und muss nur aktiviert werden. That's it. Firewall, Crowdstrike und Co helfen hier nicht weiter

3) Na klar ... der vielfältige und flächendeckende Einsatz von Java in OS und Applications

Es ist die Kombination, die ich und meine Kollegen (die seit 4d non-stopp aktiv sind) so in der Form nur selten gesehen haben.

Es geht hier sehr in die Cyber-Security. Dafür ist es die falsche Community. Was ich teilen möchte, sind meine Bedenken auf Grund der starken und realistischen Auswirkungen dieser Sicherheitslücke und deren durchaus berechtigte Auswirkung auf Tech-Werte bevor etwas schlimmes passiert. Es zeigt wie verletzlich diese Branche ist, nicht hilflos, aber angreifbar.

Zilch · ‎12.12.2021

@apexx schrieb:
Oder mit deM Liebsten. Habe ihn gefragt, da er hauptberuflich damit zu tun hat - er teilt die Einschätzung 🙂

Wen hast du gefragt?

Hauptberuflich womit zu tun?

Welche Einschätzung teilt "er"?

______________________
Research alone won't ensure a profit. Your main goal should be to make money, not to get an A in How to Read a Balance Sheet. - RD

MLTTMoon · ‎12.12.2021

Danke auch an alle anderen, die hier Antworten und mitlesen.

Nachbrenner: Ich habe genügend Tech-Werte im Depot und werde natürlich selbst sehen, was passiert. Adhoc-Reaktionen sind erstmal ausgeschlossen.

Den vertraue ich öfters: https://www.kaspersky.com/blog/log4shell-critical-vulnerability-in-apache-log4j/43124/

Und die machen Ihren Job (Updates in der PDF): https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_Warnst...

Schönen Sonntag Abend euch allen!

ehemaliger Nutzer · ‎12.12.2021

gelöscht.
Ich war mal wieder böse gewesen. (Unbedacht böse).

Thorsten_ · ‎13.12.2021

@ehemaliger Nutzer schrieb:
...
Java ist - unter den Programmier-Sprachen - doch schon seit Jahrzehnten als die absolut schlimmste Seuche bekannt, die man sich vorstellen kann.
...
(Ich bin nur engagierter Privat-Computer-Nutzer, stehe ein bisschen über DAU 😉, nehme aber nicht an, dass ich die Lage komplett falsch einschätze).

Das sind doch mal fundierte Aussagen!

comdirect

log4j Sicherheitslücke - Auswirkungen auf Kurse?