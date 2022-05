Inhaltsverzeichnis Programmieren: Abhängigkeiten systematisch erkennen und auswerten Materialliste: Software Bill of Materials Übersicht mit Dependency Track Dependency-Track installieren In der Praxis Fazit Artikel in c't 12/2022 lesen

Die Sicherheitslücke in der Java-Log-Bibliothek Log4j löste Ende 2021 Schockwellen in vielen Unternehmen aus. Eine harmlose Logging-Bibliothek konnten Angreifer leicht dazu überreden, Schadcode aus dem Internet zu laden. Was Admins und Beobachter überraschte, war nicht nur, dass eine ziemlich leicht zu missbrauchende Funktion so lange in einer so verbreiteten Bibliothek wie Log4j überleben konnte.

Überraschend war vor allem das Treiben in vielen IT-Abteilungen – hektisch wurden vielerorts per Hand Tabellen mit verwendeter Software zusammengetragen und auf den Suchbegriff "Java" gefiltert. Dann begann eine mühsame Suche, bei eigener Software im Quellcode, bei gekaufter Software in Dokumentationen und mit Mails an den Hersteller. Die verzweifelten Fragen: "Wo zur Hölle könnte in unserem Netzwerk Log4j stecken? Haben wir vielleicht etwas übersehen?" Probleme, die sich nicht auf Mittelständler mit Admin-Einzelkämpfern beschränkten.

Unsere Redaktion erreichten auch Berichte, wie die IT-Abteilungen großer Konzerne mit der Frage umgingen. Selbst wenn es einen CISO (Chief Information Security Officer) und ganze Teams für IT-Sicherheit gab, gingen interne Mails an alle Abteilungen und ihre Leitungen. Die sollten schnellstmöglich prüfen und bestätigen, dass die eingesetzten Anwendungen frei von Log4j oder abgesichert seien.