Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte nach dem Bekanntwerden der Sicherheitslücke im Dezember 2021 die höchste Alarmstufe ausgerufen und von einer „extrem kritischen Bedrohungslage“ gesprochen, so der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) weiter.
Versicherungsschutz gefährdet
„Die Unternehmen dürfen eine solche Schwachstelle und die lauten und klaren Warnungen davor nicht einfach ignorieren“, erklärt GDV-Hauptgeschäftsführer Jörg Asmussen. Im Zweifel könnten Unternehmen auch ihren Cyber-Versicherungsschutz verlieren, wenn Hacker über eine lange bekannte, aber dennoch nicht geschlossene IT-Sicherheitslücke angreifen.
Auch Software nach Schließen der Schwachstelle überprüfen
Cyberkriminelle hatten die Log4J-Schwachstelle bereits für unterschiedliche Angriffsformen ausgenutzt, so der Verband. Er weist auf die Gefahr hin, dass die Sicherheitslücke schon vor einem Sicherheitsupdate für eine Erstinfektion mit Schadsoftware genutzt worden sein kann.
Dann könnten Angreifer die IT-Systeme auch nach dem Update und dem damit eigentlich einhergehenden Schließen der Lücke weiter attackieren. Daher sei es wichtig, die gesicherten IT-Systeme eingehend auf etwaige Schadsoftware zu überprüfen.
Befragungsergebnisse im Detail
Laut der Umfrage unter 300 mittelständischen Unternehmen im April und Mai 2022 haben nur 40 Prozent der Betriebe ihre Software überprüft, nachdem die Sicherheitslücke bekannt geworden war. 28 Prozent haben angegeben, dass sie ihre eigenen Systeme zusätzlich auf bereits eingedrungene Schadsoftware untersucht hätten.
49 Prozent haben weder Software noch IT-System überprüft. Elf Prozent machen keine Angabe zu der Frage. (mwi)
