Was bedeutet Log4j für Banken und Versicherer? Kommentar Laurie Mercer, Security Engineer HackerOne
von Laurie Mercer, Security Engineer bei HackerOne
Und die jetzt aufgedeckte Schwachstelle zeigt ein weiteres Problem auf:
Da es sich bei Log4j um eine Open-Source-Bibliothek handelt, gibt es per se keine zentrale Zuständigkeit.”
Entsprechend unterstreicht die aktuelle Herausforderung als schwerwiegende Sicherheitslücke in einem zentralen Open-Source-Paket die Notwendigkeit, die Open-Source-Community durch so etwas wie eine Internet Bug Bounty – also ein Prämienprogramm für gefundene, gemeldete und verifizierte Schwachstellen – zu unterstützen.
Und für das Finanzwesen?
Für das Finanzwesen heißt das konkret, dass es nicht ausreicht, sich lediglich an die von der BaFin vorgegebenen Mindestanforderungen an das Risikomanagement (MaRisk) zu halten. Denn dies würde Unternehmen nicht dabei helfen, die aktuelle Log4j-Sicherheitslücke (CVE-2021-44228) zu entdecken. Dadurch wären zahllose deutsche Finanzinstitute gefährdet. Die Vorgaben der BaFin sehen vor, dass Tests in zwei Situationen durchgeführt werden sollen:
- Die IT-Systeme müssen getestet werden, bevor sie zum ersten Mal zum Einsatz kommen; und
- nachdem wesentliche Änderungen vorgenommen worden sind.
Finanzinstitute sollten daher sicherstellen, dass sie Bedrohungen und Schwachstellen kontinuierlich überwachen. Punktuelle Tests reichen nicht mehr aus, um mit der sich schnell verändernden Bedrohungslandschaft Schritt zu halten.”
Dies sollte auch ein Weckruf für die Aufsichtsbehörden auf der ganzen Welt sein: Die bisherige Risikoeinschätzung trifft nicht länger zu.Laurie Mercer, HackerOne
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/131793
Schreiben Sie einen Kommentar