Statement zur Sicherheitslücke Log4j

Wie aus den Medien bekannt, wurde kürzlich eine größere Sicherheitslücke entdeckt. Diese befindet sich in der Java-Bibliothek Log4j, einer häufig verwendeten Bibliothek zum Management von Logfiles.

Durch diese Schwachstelle kann ein fremdes System attackiert und sogar vollständig übernommen werden. Grund dafür ist, dass der Angreifer seinen Code auf fremden Systemen ausführen kann.

Eine aktuelle Liste von betroffenen Systemen findest du hier.

Entwarnung! Für dc Kunden und Kundinnen mit Standardlösungen besteht aktuell keine Gefahr.

Die Standardsoftware von dc sind nach aktuellem Kenntnisstand NICHT betroffen. Wir prüfen zusätzlich auch sämtliche zum Einsatz kommenden Drittanbieter, wie z. B. Suchsysteme. Da hier keine Kundendaten hinterlegt sind, stufen wir das Risiko derzeit als gering ein.

Log4j ist ein OpenSource-Tool, mit dem Protokolle (Log-Files) von Webanwendungen auf Java-Basis verwaltet werden können.

Es kommt in vielen Standardanwendungen zum Einsatz. Einige von ihnen haben bereits offiziell bestätigt, betroffen zu sein, andere wie Apples iCloud haben bereits ein Update veröffentlicht, mit dem die Lücken geschlossen werden können.

Weitere Betroffene sind u.A.:

Aktuell prüfen viele Server-Anbieter weltweit, ob ihre Server betroffen oder Lücken sogar schon ausgenutzt worden sind.

Eine abschließende Aussage kann derzeit noch nicht gemacht werden. Zu ungenau sind auch die derzeitigen Informationen über eine mögliche Einfallsmöglichkeit in andere Systeme durch die ursprüngliche Lücke.

Auch Bundesbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben sich eingeschaltet und bezüglich Log4j an die Öffentlichkeit gewandt. Die Sicherheitsexperten des BSI erklärten die Situation offiziell zur Alarmstufe Rot und geben regelmäßig neue Informationen heraus.

Unsere aktuelle Software läuft zwar auf Apache-Servern, ist jedoch PHP- und nicht Java-basiert und damit nicht betroffen. Es gibt zwar einzelne Komponenten, die die betroffene Bibliothek nutzen, allerdings im Hintergrund und nicht online erreichbar.

Kunden und Kundinnen, die unsere Standardversionen benutzen, brauchen sich also nach aktuellem Stand keine Sorgen zu machen. Wir informieren dich selbstverständlich proaktiv, sofern wir Kenntnis von Sicherheitslücken in unseren Lösungen bekommen sollten. Wende dich bitte auch an uns, falls du unsicher bist, ob du betroffen bist.

Kunden und Kundinnen, die Sonderprogrammierungen verwenden, welche in Verbindung mit Java stehen, könnten potenziell einer Gefährdung ausgesetzt sein. Bitte setzen sich mit uns in Verbindung, falls du externe Module verwendest. Kleinere Anpassungen, Standard- oder Zusatzmodule sind hiervon ausgenommen. Unser Team Customer Care prüft aber auch hier proaktiv und wird sich bei Auffälligkeiten in den kommenden Tagen an dich wenden.