">
Zum Hauptinhalt springen

0 51 41 - 95 52 0

info@abenhausen.de

Abenhausen Büro- und Datentechnik logoAbenhausen Büro- und Datentechnik logo

Aktuelles

Kritische IT-Sicherheitslücke log4j

Es besteht dringender Handlungsbedarf!


Sehr geehrte Damen und Herren,

vom BSI wurde die Bedrohungslage in Bezug auf die log4j Schwachstelle auf 4/ rot gesetzt. Die aktuellste Version des Dokumentes finden Sie unter:

BSI - Presse - Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage (bund.de)

 

Wenn Sie Software im Einsatz haben, die auf Java basiert und die Komponente log4j benutzt, muss diese zwingend upgedatet werden.

Da Java sehr verbreitet ist, kann man den gesamten Umfang noch nicht abschätzen.

 

Eine kurze Auflistung von verbreiteter Software, die betroffen ist:

  • beA (Patch vom 12.12.2021, aktive Nutzungspflicht für jeden Rechtsanwalt ab 01.01.2022)
  • Ubiquiti UniFi (WLAN) (Patch vorhanden)
  • VMWare div. Produkte
  • APC USV Software Powerchute  (aktuell noch kein Patch vorhanden)
  • DATEV (Hotfix 14.12.2021, Sicherheits-Updates - Sicherheitslücke Log4Shell (log4j) - DATEV Hilfe-Center
  • RA-MICRO  (Mit Version 2022.01.002 wurde vorsorglich die vom (BSI) empfohlene Maßnahme zur Absicherung der Softwarebibliothek „Log4j“ umgesetzt)
  • REINER SCT timeCard 6 wenn JMSAppender aktiviert ist (timeCard 10 ist in C# programmiert und somit nicht betroffen)
  • TP-Link

 

NICHT betroffen

  • Microsoft Produkte wie Office (Word, Excel, Outlook) etc.
  • ESET
  • Securepoint
  • Octogate
  • Hyper-V
  • „Von lokal installierten DATEV-Programmen geht bei standardmäßiger Installation von DATEV kein erhöhtes Risiko aus“
  • Terra Wortmann
  • Terra Cloud Backup
  • Veeam
  • Starface, XPhone
  • Ricoh Multifunktionsdrucker/Kopierer
  • GlobalScan NX
  • Scannerbox & indexCREATOR
  • Scannerbox & Mandant connect/connect II (Schnittstelle nur intern genutzt, kein externer Zugriff möglich)

 

Eine etwas ausführlichere (aber nicht vollständige) Liste finden Sie unter:

log4shell/software at main · NCSC-NL/log4shell · GitHub

 

Sollten Sie Drittanbietersoftware nicht bei uns erworben haben, fragen Sie bitte beim Hersteller an, ob dieser betroffen ist und ob es einen Patch gibt.

Auf Wunsch übernehmen wir die Prüfung für Sie.

 

Für die verschiedenen Kunden ist folgend die Vorgehensweise:

 

  • Abenhausen Cloud (AOS):           Die Patches werden nach Verfügbarkeit im Rechenzentrum automatisch eingespielt. Sollten Sie lokale Software im Einsatz haben, die betroffen ist, stimmen Sie einen Termin per Mail (!) ab: technik@abenhausen.de.
  • Full-Service Vertrags Kunden:    Wir haben/werden die Patches proaktiv aufspielen. Bitte lassen Sie uns per Mail (!) an: technik@abenhausen.de eine Liste aller Softwareprodukte zukommen, die Sie nicht von uns erworben haben.
  • Keine AOS oder FS Kunden:        Bitte stimmen Sie einen Termin per Mail (!) ab: technik@abenhausen.de . Schicken Sie ebenfalls eine Liste mit Ihrer eingesetzten Software, sollten wir diese nicht vorliegen haben.

 

In diesem Zuge wollen wir auch nochmal ausdrücklich darauf hinweisen, dass eine professionelle Backup-Strategie unerlässlich ist.

Prüfen Sie selber. Haben Sie 3 Backups, auf 2 verschiedenen Medien und bewahren 1 extern auf?

 

Wir bitten Sie um Verständnis, dass es zu Verzögerungen im Tagesgeschäft kommen kann, da diese Sicherheitslücke höchste Priorität hat.

Sollten Sie Fragen haben, rufen Sie uns an.  

Zurück zur Übersicht