Log4j-Fehler: Gesundheitssektor muss Maßnahmen ergreifen

Experten: Ausmaß der Auswirkungen ungewiss, Unternehmen müssen Risiken jedoch bewerten und mindern

Marianne Kolbasuk McGee (Gesundheitsinfosicherheit) • December 17, 2021

Organisationen im Gesundheitssektor werden, wie auch Unternehmen in anderen Branchen, von Bundesbehörden und anderen Stellen dazu aufgefordert, sorgfältig zu prüfen, wie die kürzlich identifizierte schwerwiegende Sicherheitslücke bei der Remote-Code-Ausführung in der Apache Log4j Java Die Protokollierungsbibliothek kann sich auf ihre Umgebungen auswirken, und das Problem muss dann schnell behoben werden.

Das Ministerium für Gesundheit und Soziale Dienste Koordinierungszentrum für Cybersicherheit im Gesundheitssektor, oder HC3, riet in einer am 10. Dezember veröffentlichten Warnung Organisationen des Gesundheitswesens und des öffentlichen Gesundheitswesens, ihre Infrastruktur zu überprüfen, um sicherzustellen, dass sie keine anfälligen Versionen von Log4j ausführen.

„Alle anfälligen Systeme sollten aktualisiert werden. Außerdem sollte eine umfassende Untersuchung des Unternehmensnetzwerks eingeleitet werden, um mögliche Ausnutzungen zu identifizieren, wenn eine anfällige Version identifiziert wird“, heißt es in der Warnung.

Der genaue Umfang, in dem Log4j im Gesundheitssektor eingesetzt wird, ist unbekannt, sagt HC3. „Es ist eine gängige Anwendung, die von vielen Unternehmen und Cloud Anwendungen, darunter mehrere große und bekannte Anbieter. Daher ist es sehr wahrscheinlich, dass der Gesundheitssektor von dieser Sicherheitslücke betroffen ist, und zwar möglicherweise in großem Umfang.“

HC3 empfiehlt, dieser Schwachstelle hohe Priorität einzuräumen, heißt es in der Warnung.

Das von der gemeinnützigen Apache Software Foundation verwaltete Open-Source-Programm Log4j bietet Protokollierungsfunktionen für Java-Anwendungen und wird häufig verwendet, unter anderem für Apache-Webserver-Software.

Der Fehler ist in der Apache Log4j-Bibliothek, Versionen 2.0-beta9 bis 2.14.1, vorhanden, und die US-amerikanische Agentur für Cybersicherheit und Infrastruktursicherheit In einer Warnung vom 10. Dezember wurde Organisationen aller Sektoren außerdem geraten, die Behebung des Problems mit höchster Priorität anzugehen.

Am Freitag, der Food and Drug Administration hat außerdem eine Warnung zum Log4j-Fehler herausgegeben, die sich an Hersteller medizinischer Geräte richtete.

„Hersteller sollten prüfen, ob sie von der Sicherheitslücke betroffen sind, das Risiko bewerten und Abhilfemaßnahmen entwickeln. Da Apache Log4j in Software, Anwendungen und Diensten weit verbreitet ist, sollten Hersteller medizinischer Geräte auch prüfen, ob Softwarekomponenten oder Dienste von Drittanbietern, die in oder mit ihrem medizinischen Gerät verwendet werden, die betroffene Software verwenden könnten, und das oben genannte Verfahren befolgen, um die Auswirkungen auf das Gerät zu bewerten“, sagt die FDA.

Hersteller, die von der Log4j-Sicherheitslücke betroffen sein könnten, sollten mit ihren Kunden kommunizieren und sich mit CISA abstimmen, fordert die FDA. „Da es sich um ein andauerndes und sich weiterentwickelndes Problem handelt, empfehlen wir außerdem, weiterhin wachsam zu sein und zu reagieren, um sicherzustellen, dass medizinische Geräte angemessen geschützt sind.“

Das Büro für Bürgerrechte des HHS, das HIPAA, gab am Dienstag ebenfalls eine Warnung auf Grundlage der Warnung der CISA heraus.

„Massives Problem“

Der Log4j-Fehler sei „ein massives Problem auf ganzer Linie“, sagt Benjamin Denkers, Chief Innovation Officer bei Datenschutz und Sicherheitsberatung CynergisTek.

„Jede Branche hat die letzte Woche damit verbracht, die Schwachstelle zu identifizieren und zu beheben. Die einfache Ausnutzung dieser Schwachstelle erfordert kein hohes Maß an Raffinesse. Eine erfolgreiche Ausnutzung ermöglicht die Ausführung von Remotecode, wodurch Angreifer in die Umgebung einsteigen können.“

„Dies ist ein ernstes Problem und man kann nicht herunterspielen, wie schnell Organisationen reagieren müssen“, sagt Erik Decker, CISO des in Utah ansässigen Gesundheitsdienstleisters Intermountain Healthcare und Co-Vorsitzender einer HHS-Arbeitsgruppe für Cybersicherheit. „Es ermöglicht einem böswilligen Akteur, Remote-Code auf Servern oder nachgelagerten Servern auszuführen, die über das Internet angreifbar sind. Böswillige Akteure nutzen Schwachstellen wie diese als ersten Schritt bei groß angelegten Angriffen“, sagt er.

Die Absicht könnte Datendiebstahl sein, Ransomwareoder Diebstahl geistigen Eigentums, sagt er. „Es wurde berichtet, dass die Conti-Ransomware-Bande diese Schwachstelle jetzt ausnutzt, um Ransomware auf internen Systemen freizusetzen.“

Für Unternehmen im Gesundheitssektor wäre Log4j Teil einer größeren Anwendungsimplementierung, sagt Denkers. „Sie würden nicht unbedingt wissen, dass es installiert ist, da es eines von Hunderten potenzieller Pakete sein könnte, die für die Ausführung dieser Anwendung verwendet werden.“

Zu einer ähnlichen Einschätzung kommt Christopher Frenz, stellvertretender Vizepräsident für IT-Sicherheit des Mount Sinai South Nassau Hospital in Oceanside, New York.

„Da Log4j eine beliebte Softwarebibliothek ist, die in einer Vielzahl von Anwendungen verwendet wird, bedeutet dies auch, dass es eine Fülle von Anwendungen gibt, die potenziell anfällig für Angriffe sind“, sagt er.

„Dieser weitverbreitete Einsatz bedeutet nicht nur, dass es eine große potenzielle Angriffsfläche gibt, sondern für viele Organisationen ist es auch eine Herausforderung, alle Punkte zu lokalisieren, an denen sie verwundbar sind.“

CISA erstellt eine Liste von anfälligen Anwendungen, anhand derer Organisationen bereits jetzt ermitteln können, wo bei ihnen möglicherweise Schwachstellen bestehen. Viele Anbieter medizinischer Software und Hersteller medizinischer Geräte mit anfälligen Anwendungen stehen jedoch noch nicht auf der Liste, sagt Frenz.

Decker meint, dass manche Unternehmen Log4J in ihrem Unternehmen haben könnten, ohne es zu merken, weil es „mit den aktuellen Schwachstellenscannern nur schwer zu entdecken sei“, sagt er.

„Viele Anbieter erlauben keinen Administratorzugriff auf ihre Geräte. Wir müssen uns auf ihren Prozess zur Offenlegung von Schwachstellen verlassen, um zu wissen, ob die Software anfällig ist oder nicht. Nur weil Ihr Scan die Schwachstelle nicht erkennt, gehen Sie nicht davon aus, dass Sie keine Instanzen davon haben“, sagt er.

Frenz sagt, er sei „schon seit Langem ein Befürworter dafür, dass Gesundheitsorganisationen eine Software-Stückliste für die Anwendungen und Geräte verlangen, die sie integrieren, und diese Sicherheitslücke zeigt deutlich, warum das so wichtig ist.“

Eine Software-Stückliste (SBOM) für jede Anwendung und jedes Gerät würde die Identifizierung dieser Schwachstelle wesentlich einfacher machen, sagt er.

Kampf gegen „FUD“

Einige Experten fordern, dass Gesundheitseinrichtungen beurteilen müssen, ob sie von der Log4j-Sicherheitslücke betroffen sind, aber das Problem auch in die richtige Perspektive rücken. „Unterm Strich: Log4j ist in allen IT-Anwendungen allgegenwärtig und stellt keine spezifische Gesundheitsbedrohung dar“, sagt Denise Anderson, Präsidentin des Health Information Sharing and Analysis Center, in einer Stellungnahme gegenüber der Information Security Media Group.

„Wie immer muss man viel von dem ‚Lärm‘ und der Angst, Unsicherheit und dem Zweifel – FUD – ignorieren, wie etwa die 800,000 ‚Angriffe‘, bei denen es sich weniger um tatsächliche Angriffe/Exploits handelt, sondern eher um verschiedene Personen, darunter Forscher, die nach anfälligen Geräten suchen“, sagt sie und bezieht sich dabei auf Berichte verschiedener Sicherheitsanbieter in dieser Woche, in denen sie behaupten, bereits Hunderttausende von Angriffsversuchen blockiert zu haben, die die Log4j-Schwachstelle ausnutzten.

„Die grundlegende Risikominderungsstrategie besteht darin, so schnell wie möglich – wenn nicht sofort – auf Version 2.16.0 und mindestens auf 2.15.0 zu aktualisieren, wenn sich herausstellt, dass ein Gerät in einer Umgebung angreifbar ist“, sagt sie. H-ISAC hat außerdem eine Bekanntmachung über die Anfälligkeit des Gesundheitssektors am 10. Dezember.

In der H-ISAC-Warnung heißt es, dass einige Forscher den Verdacht hegen, dass einige Ransomware-Akteure bereits damit begonnen haben, die Schwachstelle für Angriffe auszunutzen. (Siehe: Staatliche Angreifer nutzen Log4j).

Link zum Lesen des vollständigen Artikels hier https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

• Verwandte Ressourcen und Neuigkeiten
• Bedrohungslandschaftsbericht für das Gesundheitswesen und die Sozialhilfe
• Agentengesteuerte KI im Gesundheitswesen ist ein riskantes Unterfangen.
• Live@eXchange Tag 2 – Health-ISAC-Sicherheitsanalyst für Medizinprodukte
• Gesundheit-ISAC Hacking Healthcare 6
• Neue Sicherheitslücken zielen auf die Gesundheitsbranche ab
• Monatlicher Newsletter – Juni 2026
• Was wirklich nötig ist, um die Gesundheitsversorgung zu sichern
• Geräteinventarisierung und PHI-Mapping werden die größten Herausforderungen bei Inkrafttreten des neuen HIPAA-Gesetzes darstellen.
• Verizon DBIR: Gesundheitswesen wehrt vermehrte Social-Engineering-Angriffe ab
• Bericht zum Stand des menschlichen Cyberrisikos