Was genau ist Log4j und warum ist es so relevant?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) machte Ende vergangener Woche eine Lücke im Open-Source-Werkzeugkasten Log4j publik, einer Programmbibliothek für die Programmiersprache Java. Diese
Sammlung von vorgefertigten Befehlen dient dazu, die Aktivitäten eines Programms zu protokollieren, um im Nachhinein aufgetretene Fehler im Ablauf zu finden. So kann man im Nachgang nachvollziehen, was im Hintergrund zwischen Ein- und Ausgabe des Programms geschieht.
Die entstandene Sicherheitslücke ermöglichte es, durch Eingabe des richtigen Befehls unter anderem Verbindung zu einem anderen Server aufzubauen und Schadsoftware zu installieren. Diese Art von Angriff nennt man Remote Code Execution
– ferngesteuerte Codeausführung. Unter Umständen wäre es sogar möglich einen Server komplett zu übernehmen. Der Grund der enorm großen Aufmerksamkeit für diese Sicherheitslücke ist, dass viele Unternehmen hiervon betroffen sind. Die Liste der Anwendungen, die Log4j nutzen, ist lang und prominent besetzt: von der Gamingplattform Steam über IBM, Google, Tesla und Twitter bis hin zu Amazons Serverdienst AWS, VMware, Cloudflare und vielen andere mehr.
Die gute Nachricht ist, dass es bereits ein Sicherheitsupdate gibt.
Was bedeutet das für teemer-Kunden?
Wie viele andere Praxisverwaltungssysteme nutzt auch die teemer Praxissoftware diesen Open-Source-Werkzeugkasten Log4j. Daher haben wir bereits am Dienstagabend reagiert und ein Update zentral durchgeführt. Damit haben wir die Sicherheitslücke auf unserem System für unsere Kunden geschlossen. Hier kommt einmal mehr der Vorteil von zentral geführter cloudbasiert Software zum Tragen. Alle teemer-Nutzer sind über Nacht wieder auf dem aktuellsten Sicherheits-Stand und müssen sich nicht selbst um die Pflege und Updates Ihres Programms kümmern.
