Contact
QR code for the current URL

Story Box-ID: 1095748

Rhebo GmbH Spinnereistr. 7 04179 Leipzig, Germany http://www.rhebo.com
Contact Mr Jens Pacholsky +49 341 393790191
Company logo of Rhebo GmbH

Deshalb empfiehlt das BSI eine Anomalieerkennung zur Detektion von Log4Shell-bedingten Angriffen

Empfehlung zielt auf schnelle und effektive Handlungsfähigkeit für gefährdete und potenziell kompromittierte Unternehmen

(PresseBox) (Leipzig, )
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verdeutlicht in seinem Arbeitspapier »Kritische Schwachstelle in Log4j – Detektion und Reaktion« die anhaltende und komplexe Gefahr der Schwachstelle Log4Shell auch in industriellen Netzwerken. Ein kurz- bis mittelfristiges Schließen der Schwachstellen in vielen Unternehmen wird als unrealistisch eingeschätzt. Aus diesem Grund empfiehlt das BSI neben einer regelbasierten Anfrageauswertung zusätzlich die Überwachung und Analyse aller Netzwerkvorgänge per Anomalieerkennung. Industrielle Anomalieerkennungslösungen, wie sie das Landis+Gyr-Unternehmen Rhebo bietet, befähigen Unternehmen, frühzeitig bereits erfolgte Kompromittierungen, aktive Exploits und sonstige bösartige Vorgänge in der Operational Technology (OT) und den Industrial Control Systems (ICS) zu erkennen. Die als CVE-2021-44228 dokumentierte Schwachstelle erlaubt es Angreifenden, ohne Authentifizierung auf Systemen, die die weit verbreitete Log4j-Bibliothek verwenden, eigenen Code auszuführen.

Schnelles und komplettes Sicherheitspatching unwahrscheinlich

»Selbstverständlich steht an erster Stelle das Update aller im Unternehmen existierender Log4j-Bibliotheken auf die derzeit aktuellste Version. Jedoch begeben sich damit viele Unternehmen auf die sprichwörtliche Suche nach der Nadel im Heuhaufen«, erklärt Rhebo-CTO Martin Menschner. Nicht nur fehlt Unternehmen häufig die Klarheit darüber, welche Anwendungen die verwundbare Bibliothek nutzen. Es reicht auch kein einmaliges, globales Java-Update der Log4j-Bibliothek über die Softwareverwaltung der Betriebssysteme. Das BSI verweist explizit darauf, dass nur die jeweiligen »Softwarehersteller [das Update] vornehmen [können], die die Bibliothek in ihre Programme eingebunden haben«. Die daraus entstehende Komplexität der Mitigation wird weiter dadurch erschwert, dass Log4j seit Bekanntwerden der Schwachstelle bereits mehrfach aktualisiert wurde.

Zudem basieren laut BSI aktuell alle bekannten Mitigationsmaßnahmen, die die Nutzung der Bibliothek betreffen, auf dem Deaktivieren der problematischen Funktionalität. Systeme in Unternehmen, die auf die Funktionalität der Log4j-Bibliothek zwingend angewiesen sind, laufen somit Gefahr, nach Implementierung nicht mehr funktionsfähig zu sein. Insbesondere bei kritischen Services geraten u.a. Kritische Infrastrukturen und Industrieunternehmen in eine ausweglose Situation.

Darüber hinaus sollten sich Unternehmen auch nach einem Update nicht in Sicherheit wiegen. »Die Log4Shell-Schwachstelle könnte in einigen Unternehmen bereits ausgenutzt worden sein. Das heißt, mitunter haben sich Angreifende bereits in der IT oder – per lateraler Bewegung – in der Operational Technology (OT) etabliert und per Backdoors den Zugriff gesichert«, ergänzt Martin Menschner. Schließlich existiert die Schwachstelle seit über einem Jahr. Und Sicherheitsorganisationen weltweit haben seit dem offiziellen Bekanntwerden von Log4Shell im Dezember 2021 eine massive Zunahme von Netzwerkscans und -angriffen beobachtet (siehe auch den Kommentar zu Log4Shell von Rhebo).

Detektion von Anomalien sollte im Fokus stehen

Aus diesen Gründen empfiehlt das BSI Unternehmen, kurzfristig erweiterte Maßnahmen zur Detektion verdächtiger und schädlicher Kommunikationsvorgänge umzusetzen. Neben der Auswertung von Anfragedaten (z. B. über Webserver Logs) nennt das BSI explizit eine Anomalieerkennung auf Netzwerkebene. »Diese Lösung erkennt nicht nur bislang unbekannte Angriffsmuster, die typisch für Zero-Day-Schwachstellen sind«, erklärt Martin Menschner. »Sie meldet auch Vorgänge, die auf bereits bestehende Kompromittierungen hinweisen, wie beispielsweise laterale Bewegung, Änderung von Funktionen und Befehlsstrukturen in Systemen oder Scans«. Rhebo bietet mit seiner Next Generation OT Intrusion Detection eine Lösung, die speziell auf industrielle Netzwerke zugeschnitten ist.

Das OT-Monitoring überwacht die gesamte Kommunikation innerhalb eines industriellen Netzwerkes, während die integrierte Threat und Intrusion Detection jegliche Anomalie, also Abweichung, im Kommunikationsverhalten identifiziert und in Echtzeit meldet. Dadurch wird Kommunikation erkannt, die im überwachten Netzwerk neuartig ist und auf bösartiges Verhalten hinweist – von der Kommunikation über Backdoors, über laterale Bewegungen und Spoofing-Aktivitäten bis zum direkten Eingriff in industrielle Prozesse. Mit der Anomalieerkennung werden Aktionen von Angreifenden innerhalb des OT-Netzwerkes in Echtzeit sichtbar, nachvollziehbar und bekämpfbar, selbst wenn diese bislang unbekannte Signaturen nutzen oder authentifizierte Benutzerkonten übernommen haben. Für die schnelle Inbetriebnahme der Anomalieerkennung bietet Rhebo bei Bedarf technische Betriebsunterstützung oder eine umfängliche Managed Protection Dienstleistung. Um das Risiko abzuschätzen, ob bereits eine Kompromittierung in der OT vorliegt, empfiehlt sich zudem eine OT-Risikobewertung und -Sicherheitsanalyse.

Mehr Informationen zur Anomalieerkennung von Rhebo erhalten Sie unter https://rhebo.com/de/produkte/rhebo-industrial-protector/.

Rhebo GmbH

Rhebo entwickelt und vermarktet OT- und IIoT-Cybersecurity-Lösungen für Energieunternehmen, Kritische Infrastrukturen und Industrie. Das Unternehmen bietet standortübergreifende Cybersicherheit, Angriffserkennung und Sichtbarkeit in industriellen Netzwerken (ICS) durch OT-Monitoring und Threat & Intrusion Detection von der initialen Risikoanalyse bis zum Betrieb. Rhebo ist seit 2021 Teil der Landis+Gyr AG, einem global führenden Anbieter integrierter Energiemanagement-Lösungen für die Energiewirtschaft mit weltweit rund 5.000 Mitarbeiter:innen in über 30 Ländern.

Rhebo ist Partner der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Teletrust - Bundesverband IT-Sicherheit e.V.. Als vertrauenswürdiges IT-Sicherheitsunternehmen ist Rhebo offizieller Träger der Gütesiegel »IT Security Made in Germany« sowie »Cybersecurity Made In Europe«. https://rhebo.com/

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.