In den Abendstunden des 10.12. wurde eine extrem kritische Sicherheitslücke bei der Java-Bibliothek Log4j bekannt. Dieser Open-Source-Dienst zur Protokollierung von Anfragen kommt in zahlreichen Anwendungen zum Einsatz. Daraus resultiert eine hohe Bedrohungslage, auf die das Bundesamts für Sicherheit in der Informationstechnik (BSI) am 11.12. mit der Hochstufung der Cyber-Sicherheitswarnung auf die höchste Stufe reagiert hat.
Wir haben alle nötigen Schritte eingeleitet und können Ihnen hiermit versichern, dass Ihre FundraisingBox immer sicher war und nach wie vor ist.
Weltweit Services betroffen
Es ist davon auszugehen, dass ein sehr großer Teil der Internet-Server von der Sicherheitslücke betroffen ist, darunter vermutlich auch u. a. Amazon, Microsoft, Netflix, Twitter, SAP, Apple und viele weitere Anbieter weltweit.
Durch die Sicherheitslücke haben Hacker die Möglichkeit, sehr einfach ganze Systeme zu übernehmen, Schadsoftware wie z. B. Ransomware einzuschleusen und Daten zu stehlen. Es wurden bereits groß angelegte Angriffe verzeichnet.
Die Sicherheit der FundraisingBox war und ist gewährleistet
Direkt nach dem Bekanntwerden der Log4j-Sicherheitslücke hat unser Emergency-Team noch in der Nacht zum Samstag reagiert und begonnen, unsere System-Sicherheit zu überprüfen.
Dabei wurden unsere verschiedenen eingesetzten Komponenten getestet, ob sie auf entsprechende Angriffsvektoren reagieren. Das war nicht der Fall. Zur Sicherheit wurden einige Services bis zur finalen Bewertung gezielt vom Netz genommen.
Im Laufe des Wochenendes wurden dann in enger Abstimmung mit den Herstellern Sicherheitspatches auf allen relevanten Systemen eingespielt und alle Services kontrolliert wieder hochgefahren. Alle spenden-verarbeitenden Systeme waren dabei durchgehend erreichbar.
Aufgrund der von uns gesetzten Maßnahmen können wir sicherstellen, dass die FundraisingBox – und damit Ihre Daten und die Daten Ihrer Spendenden – absolut sicher und vor Angriffen geschützt war und ist.
Was Sie nun tun sollten – empfohlene Schritte
Wir empfehlen Ihnen jedoch dringend, Ihre weiteren Systeme (z.B. Webserver) ebenfalls gründlich auf mögliche Gefährdungen zu überprüfen. Kontaktieren Sie auch Ihre IT- -Dienstleister und fragen Sie nach eventuell nötigen Sicherheitsmaßnahmen wie z. B. Patches oder Updates.
Hier finden Sie die Empfehlungen des BSI. Wir raten Ihnen dringend, diese mit höchster Priorität umzusetzen.
Weitere Informationen zur Log4j-Sicherheitslücke
In einigen Medien wurde bereits über die Gefährdung berichtet:
IT-Sicherheitsbehörde schlägt Alarm wegen Schwachstelle in weit verbreiteter Software / Spiegel.de
Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps / heise.de
BSI vergibt höchste Warnstufe für Log4j-Lücke / golem.de
