Letzten Dezember hat die Log4j Schwachstelle die ganze Welt in Atem gehalten. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte sogar die höchste Warnstufe (Rot) ausgerufen. Mittlerweile wurden die Zahlen veröffentlicht. Gemäss «Check Point» waren weltweit 46% aller Netzwerke betroffen. Die Schweiz liegt mit 47% sogar knapp über dem Durchschnitt. Am meisten betroffen waren Händler, Systemintegratoren und danach gleich die Finanzbranche.
Doch wie ist der Stand bei CODATIX? Ein Grund, um mit iflow’s Chief Technology Officer (CTO), Gerhard Dietrichsteiner, zu sprechen.
Gerhard, die Log4j-Sicherheitslücke war kürzlich in aller Munde. Wie hast du reagiert, als du davon erfahren hast??
Da Log4j in der Java Entwicklung sehr verbreitet eingesetzt wird, habe ich mich sofort genauer mit der Sicherheitslücke beschäftigt und geprüft, ob unsere Produkte betroffen sein könnten. Innerhalb weniger Stunden konnten wir Entwarnung geben.
Wie ist der Stand der Dinge bei CODATIX – verwendet ihr Java?
Ja, CODATIX ist serverseitig in Java implementiert.
Und was ist mit Log4j?
Bei CODATIX verwenden wir das Log4j Framework nicht. Somit war CODATIX auch von keiner Sicherheitslücke betroffen. Dennoch haben wir sofort nach Bekanntwerden der Sicherheitslücke auch alle von uns verwendeten externen Libraries geprüft und konnten sicherstellen, dass in CODATIX kein Log4j enthalten ist. Somit konnte auch kein Schaden verzeichnet werden.
Stattdessen verwenden wir Logback als Logging-Framework. Logback hatte zwar auch ein Sicherheitsproblem, war in der von uns verwendeten Konfiguration aber zu keinem Zeitpunkt gefährdet.
Wie geht ihr künftig mit solchen Problemen um?
Sobald es sicherheitsrelevante Problemmeldungen gibt, überprüfen wir CODATIX unverzüglich. Des Weiteren halten wir CODATIX stets am aktuellsten Stand der Technik und aktualisieren die von uns verwendeten Libraries regelmässig. Damit gewährleisten wir eine hohe Sicherheit.
Wie gut ist CODATIX vor anderweitigen Angriffen geschützt?
CODATIX ist sehr gut geschützt. Es hat bisher alle Sicherheitstests überstanden und wir hatten auch noch keinen Fall in dem es einem Angreifer gelungen wäre, das System zu beeinträchtigen oder Daten zu stehlen. Projektdaten, welche mit unserer clientseitigen Verschlüsselungstechnologie abgelegt werden, sind noch zusätzlich geschützt. Selbst wenn ein Angreifer in CODATIX (oder direkt auf einen unserer Server) eindringen sollte, kann er mit den verschlüsselten Daten nichts anfangen. Die zur Entschlüsselung nötigen kryptografischen Schlüssel sind am Server nicht vorhanden.
Kommentieren