Vorbeugen und Schützen

log4j

Sicherheitsverantwortliche und Administratoren sollten betroffene Log4j-Bibliotheken dringend aufspüren und aktualisieren.

Immer mehr Unternehmen vermelden umfangreiche Scans auf die Schwachstelle sowie das aktive Ausnutzen durch Cyber Attacken.

Maßnahmen zur Behebung von Sicherheitslücken

Sehr geehrte Damen und Herren,

am Montag, den 13. Dezember 2021 haben wir Sie darüber informiert, dass wir mit allen Herstellern des ECS-Portfolios in Verbindung stehen, um die Verbreitung der Protokollierungsbibliothek „Log4j“ in den bei unseren Kunden eingesetzten Produkten zu prüfen. Gemäß Mitteilung des Bundesamtes für Sicherheit in der Informationstechnik (CVE-2021-44228) beinhaltet diese Java-Anwendung eine Schwachstelle, die mit der Bedrohungslage „hoch“ eingestuft wird.

Mittlerweile liegen uns die Erkentnisse der jeweiligen Hersteller vor. Aus dem ECS Portfolio sind maßgeblich die nachfolgenden Hersteller betroffen:

  • Atos Unify (ehemals Siemens Enterprise Communications)
  • Huawei Technologies
  • VMware
  • Famalux Lichtruf

Beiliegend finden Sie eine Liste mit den Produkten und Versionsständen, die nach aktuellem Stand von der Sicherheitslücke betroffen sein könnten, da die oben genannte Java-Anwendung in der Software genutzt wird. Uns liegen teilweise bereits erste Handlungsempfehlungen und Workarounds vor, die eine Minimierung des Sicherheitsrisikos unterstützen sollen. Zudem erwarten wir kurzfristig entsprechende Sicherheitspatches / Hotfixes, die etwaige Sicherheitslücken schließen.

Aufgrund der extrem starken Verbreitung des Problems müssen die notwendigen Maßnahmen zentral und koordiniert durchgeführt werden. Wir möchten Sie daher bitten:

  • Prüfen Sie anhand der beigefügten Liste ( am Ende dieser Seite ) , ob Sie eines der genannten Systeme in Ihrem Haus im Einsatz haben.
  • Melden Sie den Bedarf zur Schließung der Sicherheitslücke zentral über das verlinkte Formular. Ein ECS-Servicetechniker wird dann die vom jeweiligen Hersteller empfohlenen Maßnahmen durchführen.
    Informieren Sie sich regelmäßig auf unserer Website über zusätzliche
  • Informationen. Die beigefügte Liste mit den betroffenen Produkten wird hier bei Bedarf auch aktualisiert veröffentlicht. Informieren Sie sich zudem auch auf den Portalen der jeweiligen Hersteller (z.B.: unify.com/de/support/security-advisories)

Die Abarbeitung der Fälle erfolgt chronologisch. Kunden, welche gemäß „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI Gesetz“ als kritische Infrastruktur im Sinne der Verordnung gelten, werden bevorzugt behandelt. Gleiches gilt für Einrichtungen und Behörden mit Sicherheitsaufgaben oder Aufgaben im Umfeld der öffentlichen Daseinsvorsorge, sowie Gesundheitswesen.

Hinweis: Telefonanlagen im KMU Umfeld (Atos Unify OpenScape Business) sind nicht von der Sicherheitslücke betroffen. Sollten Sie sich unsicher sein, welches System in Ihrem Haus eingesetzt wird, kontaktieren Sie bitte Ihren zuständigen Vertriebsmitarbeiter oder Servicetechniker. Alternativ können Sie Rückfragen auch zentral an vertrieb@ecs-deutschland.de richten.

Liste mit den Produkten und Versionsständen
Schwachstelle-in-log4j

Behebung Sicherheitslücke Log4j

ECS unterstützt Kunden bei der Beseitigung der Sicherheitslücke „Log4“ gemäß CVE-2021-44228. Dieses Formular dient der Aufnahme von Kundenanforderungen. Nach Aufnahme dieser Anforderungen werden die von den jeweils betroffenen Herstellern empfohlenen Maßnahmen durchgeführt. Hierzu gehören u.a.:

Prüfung der Systeme
Umsetzung von empfohlenen Workarounds
Installation von Security Patches / Hotfixes
Dokumentation und Fertigmeldung

Die Durchführung der Maßnahmen wird bei Vertragskunden zu einem Stundenverrechnungssatz von 95,00 Euro (netto) abgerechnet. Für Kunden ohne laufenden Servicevertrag erfolgt die Abrechnung auf Basis der aktuell gültigen ECS-Preisliste. Durch den Auftraggeber ist ein Remote-Zugang auf die Systeme sicherzustellen.

Bitte wählen Sie aus den unten aufgelisteten Systemen die bei Ihnen eingesetzte Software.