Die Hälfte der deutschen Unternehmen haben ihre Software nicht auf die Log4J Sicherheitslücke überprüft.
Für viele CISO im Lande war es ein anstrengendes Wochenende, als das BSI die Warnstufe zu Log4J aufgrund einer „extrem kritischen Bedrohungslage“, schrittweise auf Rot setze. Mal wieder schaffte es eine Sicherheitslücke in die Tagesschau.
Doch leider zeigt eine Umfrage des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV), dass nur 40 Prozent der mittelständischen Unternehmen ihre Software auf die Lücke überprüft haben. Die Zahl derer, die untersuchten ob bereits Schadsoftware eingedrungen sei, liegt bei 28 Prozent. Jedes zweite Unternehmen gab an, weder Software auf die Lücke, noch Systeme auf eingedrungene Schadsoftware überprüft zu haben.
Dies lässt darauf schließen, dass die Hälfte der deutschen mittelständischen Unternehmen zu wenig Know-how und/oder eine zu hohe Sorglosigkeit in der Informationssicherheit an den Tag legt. Laut GDV kann dies dazu führen, dass im Schadensfall ein Unternehmen seinen Versicherungsschutz, auf Grund grober Fahrlässigkeit verliert.
Wer seine Hausaufgaben gemacht hat und ein Verzeichnis eingesetzter Software und Geräte besitzt, kann diese schnell mit einer Liste des BSI gegen checken und so prüfen, ob Aktualisierungen notwendig wären. Wer keinen Überblick über die eingesetzte IT besitzt, zum Beispiel auf Grund einer umfassenden Schatten-IT, spielt mit dem Feuer. Hier stellt sich nicht die Frage ob, sondern wann das Unternehmen Opfer eines Cyber-Security-Vorfalls wird.