Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte in einer Pressemitteilung am 11. Dezember über eine kritische Schwachstelle in der Java-Bibliothek Log4j. Da diese Softwarebibliothek in sehr vielen Softwarekomponenten zum Einsatz kommt, haben auch wir umgehend reagiert und unsere Software überprüft.
Nach interner Prüfung verwendet keine unserer Softwarekomponenten und keine unserer Drittanbieter Komponenten eine log4j-Version, welche durch die genannte Lücke kompromittierbar wären.
Seitens des durch TKI betriebenen Webfrontends zur Lizenzverwaltung wurde eine entsprechend anfällige Version der Komponente verwendet. Daher wurde an dieser Stelle notwendige Gegenmaßnahmen zur Absicherung getroffen. Wir deaktivierten unser Webfrontend für die Lizenzierung bis vom zuständigen Hersteller ein Update zur Verfügung gestellt wurde. Damit haben wir alle Maßnahmen erfolgreich umgesetzt.
Bisher sind uns keine Angriffe auf dieses Portal und somit ein eventuelles Abfließen von Daten über dieses Portal bekannt bzw. werden aktiv unterbunden.
Weitere Informationen zu der kritischen Schwachstelle in der Java-Bibliothek Log4j finden Sie auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik (BSI).