08.02.2022 - 6.3 Bericht zur IT-Sicherheit
Grunddaten
- TOP:
- Ö 6.3
- Datum:
- Di., 08.02.2022
- Status:
- gemischt (Sitzung abgeschlossen)
- Uhrzeit:
- 18:00
- Anlass:
- ordentliche Sitzung
Herr Morgenstern-Jehia berichtet über die Sicherheitslücke –Zero-Day Log4Shell
Die Schwachstelle war in allen Versionen seit der 2.0-beta9 vom 14.09.2013 enthalten und seit dem 10.12.21 bekannt. Sie ist einfach zu nutzen und ermöglicht das Nachladen und Ausführen von beliebigen Quellcodes.
Die Sicherheitslücke wurde mit der Version 2.16.0 vom 13.12.2021 behoben.
Folgende Maßnahmen wurden ergriffen:
Am 13.12.2021 wurde eine Taskforce eingesetzt. In enger Abstimmung mit dem IT-Sicherheitsbeauftragten wurde der Vorfall analysiert, bewertet und priorisiert und mit anderen Bereichen wie z.B. dem KIS, der Feuerwehr und der Verkehrssteuerung kommuniziert.
Herr Morgenstern-Jehia betont, dass zu keinem Zeitpunkt eine Gefahr für die Landeshauptstadt bestanden habe. Dies sei das Ergebnis der nach dem Citrix - Sicherheitsvorfall 2020 ergriffenen Maßnahmen. Es wurden dabei 450 Server, 108 Fachsysteme, 1016 Bundles für Client-Installationen überprüft. Noch ausstehende Aktualisierungen der Hersteller werden nach Erscheinen eingespielt. Übergangsweise wurden Workarounds implementiert. In jedem Fall verhindert die Firewall das Nachladen von Schadsoftware aus dieser Sicherheitslücke. Der vsl. Personaleinsatz zur Behandlung dieser Sicherheitslücke bis zum Abschluss der laufenden Maßnahmen beläuft sich auf 1,5 – 2 Personalmonate.
Er informiert, dass der künftige Informations – Sicherheitsbeauftragte (CISO) gemeinsam mit dem Datenschutzbeauftragten beim Oberbürgermeister angesiedelt sein wird.
Darüber hinaus informiert Herr Morgenstern-Jehia über ein EU – Forschungsprojekt. Das beinhaltet u.a. die Schaffung von Voraussetzungen für eine Plattform, die Sicherheitslücken erkennt und Möglichkeiten schafft, durch möglichst automatisierte Prozesse gegen diese Probleme anzugehen. An dem Projekt sind zahlreiche europäische Firmen beteiligt. Alternativ werden derzeit Gespräche zu einem ähnlichen Projekt auf nationaler Ebene geführt.
Auf Nachfrage zum Stand der Dokumentation der aktuellen Systeme führt Herr Morgenstern-Jehia aus, dass diese deutlich besser geworden ist; aufgrund von coronabedingten anderen Schwerpunkten im Arbeitsfeld konnte die Dokumentation bisher jedoch noch nicht fertig gestellt werden. Der verbesserte Stand hat auch bei der Behandlung von log4Shell wesentlich geholfen.