Log4j-Sicherheitslücke dicht: Kunden von VIER sind sicher!
20.12.2021 15:00 Uhr
Tobias Hoffmann, Mitte Dezember, genauer am 10. Dezember 2021, warnte das Bundesamt für Sicherheit in der Informationstechnik, BSI, vor einer Sicherheitslücke in einer Protokollierungsbibliothek für Java-Anwendungen. Warum war von dieser Sicherheitslücke auch VIER betroffen?
Konkret ging es um Log4j. Das ist eine Logging-Bibliothek, die Ereignisse im Serverbetrieb wie in einem Logbuch festhält. Von der Sicherheitslücke betroffen sind dabei die Versionen 2.0 bis 2.14.1. Durch die Sicherheitslücke haben bzw. hatten Angreifer die Möglichkeit, Schadsoftware auf fremde Server aufzuspielen. Und da Log4j im Bereich der Java-Technologie sehr verbreitet ist, betrifft eine solche Sicherheitslücke unzählige Unternehmen – weltweite Konzerne ebenso wie kleine Betriebe, aber auch Provider und damit deren Kunden. Aber da VIER eng mit dem BSI zusammengearbeitet hat, waren wir in der Lage, sofort auf diese Sicherheitswarnung zu reagieren.
Die Warnung des BSI kam am Montag, 10. Dezember. VIER hat diese Sicherheitslücke bereits am 13. Dezember geschlossen – wie hat das funktioniert?
Wir haben – ausgehend von unserem Datenschutz- und Informationssicherheitsteam (DIST) – sofort für die betroffenen VIER Produkte entsprechende Gegenmaßnahmen eingeleitet, das heißt für VIER engage und VIER Conversational AI haben wir die Patches 2.17.0 installiert. An dieser Stelle gilt mein Dank allen Kollegen, die sofort tätig geworden sind und eine Menge Überstunden geleistet haben! Dadurch ist es uns gelungen, dass wir bereits am 13. Dezember Entwarnung an unsere Kunden geben konnten.
Das heißt, die VIER-Kunden, die mit VIER engage und VIER Conversational AI arbeiten, müssen sich keine Sorgen um die Sicherheit ihrer Daten machen?
Das ist richtig. Durch unsere enge Zusammenarbeit mit dem BSI und der sofortige Umsetzung der Gegenmaßnahmen konnten wir eine Kompromittierung unserer Systeme verhindern. Zudem prüfen wir natürlich fortlaufend, ob VIER Systeme überhaupt betroffen waren. Bisher konnten wir das nicht feststellen.
Was ist mit 3rd Party-Produkten, die VIER anbietet?
Dort sind wir auf Patches der Hersteller angewiesen und installieren diese, sobald die Patches verfügbar sind. Als Übergangsmaßnahme haben wir aber die entsprechenden Produkte durch Deaktivierung oder Isolation gesichert. Daraus folgt zwar, dass diese 3rd Party-Produkte aktuell NICHT aus dem Internet erreichbar, aber damit auch nicht angreifbar sind. Wir sind aber überzeugt, dass die betroffenen Hersteller die Patches schnellstmöglich bereitstellen und unsere Kunden dann wieder wie gewohnt arbeiten können. Wir stehen dazu mit unseren Kunden in engem Kontakt.
Danke Tobias!