- Dezember 2021, Freitagnachmittag. CVE-2021-44228 — Log4Shell. Eine kritische RCE-Schwachstelle in Apache Log4j, einer Bibliothek, die in praktisch jeder Java-Anwendung vorhanden ist. CVSS 10.0. Ein Wochenende, das niemand vergessen wird.
72 Stunden Krisenmodus¶
Freitagabend: Identifikation aller Systeme mit Log4j. Das Problem? Wir wussten nicht genau, wo überall Log4j steckte — eine transitive Abhängigkeit, die man nicht direkt nutzt, die aber über andere Bibliotheken eingebunden ist.
Samstag: Scannen aller Repositories, Docker Images, Produktions-Deployments. Sonntag: Patching kritischer Systeme. Montag: Abschluss des restlichen Patchings.
Was wir nicht hatten: SBOM¶
Software Bill of Materials — eine Liste aller Komponenten und Abhängigkeiten. Hätten wir für jedes Produkt eine SBOM gehabt, hätte die Antwort auf „Wo haben wir Log4j?” Minuten statt Stunden gedauert.
Was wir nach Log4Shell eingeführt haben¶
- SBOM-Generierung — Syft für Container Images, CycloneDX für Java-Projekte
- Dependency Scanning — Trivy in der CI/CD-Pipeline, blockiert Builds mit kritischen CVEs
- Runtime Protection — Falco zur Erkennung verdächtiger Aktivitäten in Containern
- Incident-Response-Playbook — ein dokumentiertes Verfahren für Supply-Chain-Schwachstellen
Supply Chain Security ist eine Notwendigkeit¶
Log4Shell hat gezeigt, dass man nicht weiß, was in den eigenen Systemen läuft. SBOM, Dependency Scanning und proaktives Abhängigkeits-Monitoring sind kein Nice-to-have mehr — sie sind ein Must-have.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns