Log4j – Sicherheitshinweis

Sie haben sicherlich in den vergangenen Tagen von log4shell, der Sicherheitslücke in log4j, gehört, gelesen oder sind auf anderem Wege auf sie aufmerksam gemacht worden.

Deshalb haben wir unserem Leiter für Sicherheit und IT bei interface medien, Marius Mayer, die fünf wichtigsten Fragen zu dem Thema gestellt. Die wichtigste und brennendste natürlich zuerst:

1. Sind ibase oder der Praxismanager von log4shell betroffen?

Nein, die von uns produzierten Systeme ibase und der Praxismanager sind nicht von log4shell, betroffen, da die verletzliche Komponente log4j nicht verwendet wird. Dies gilt sowohl für unsere aktuellen als auch für ältere Software-Versionen.

2. Können Unternehmen betroffen sein, obwohl ibase und Praxismanager nicht betroffen sind?

Ja, es kann sein, dass Unternehmen in anderen Bereichen trotzdem betroffen sind. Wenn Unternehmen unabhängig von ibase andere Systeme auf Basis von Java einsetzen, sollten diese dringend überprüft bzw. bei den jeweiligen Ansprechpartnern um eine sofortige Stellungnahme gebeten werden.

3. Welche Systeme sind betroffen?

Die Sicherheitslücke betrifft Systeme, die auf Java-Basis laufen und eine Protokoll-Bibliothek namens log4j einsetzen. Eine Liste potenziell betroffener Systeme findet sich zum Beispiel hier.

4. Ist diese Liste vollständig?

Da sich einige der Software-, Dienste- und Toolanbieter aktuell noch in der Überprüfung befinden oder eventuell gar nicht in dieser Liste auftauchen, sollte jedes Unternehmen immer um eine Stellungnahme bitten.

5. Wie kritisch ist die Sicherheitslücke?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Cyber-Sicherheitswarnung der Warnstufe Rot ausgesprochen. „Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des BSI zu einer extrem kritischen Bedrohungslage.“

Sie sollten die Bedrohungslage daher ernst nehmen.