Status Informationen zur BSI-Warnung #log4j
Das BSI warnt seit dem 11.12.2021 vor einer sehr kritischen Bedrohungslage zur Schwachstelle im Java Logging Modul „log4j“. Für das betroffene Java-Modul stehen bereits Updates bereit, diese müssen von Anbietern jedoch noch übernommen und eigene Software-Updates bereitgestellt werden. Diese kritische Schwachstelle hat demnach möglicherweise Auswirkungen auf alle aus dem Internet erreichbaren Java-Anwendungen, die mit Hilfe von log4j Teile der Nutzeranfragen protokollieren.
FIDUS selbst ist davon nicht betroffen.
Wir haben in den letzten Tagen intensiv mit den Anbietern von externen Modulen Kontakt gehalten; dies ist der aktuelle Stand, der uns von den Unternehmen mitgeteilt wurde und den wir so an Sie weitergeben.
KBV-Prüfmodul
KBV-Prüfmodul war betroffen; die KBV hat das neue KBV-Prüfmodul am 15.12.2021 veröffentlicht.
FIDUS wird das neue Prüfmodul mit der Quartalsversion 22.1x.x (verfügbar in KW 51) installieren.
Für Anwender, die bereits vor Auslieferung des Updates abrechnen müssen, stehen das aktuelle KBV-Prüf- und Kryptomodul bereits auf der FIDUS Website zur Verfügung.
KIM-Clientmodule
arvato / KIM+: sind betroffen
arvato hat das Update 1.4.1.2 des KIM+ Clientmodul mit korrekten log4j Fix 2.16.0 bereitgestellt. Bitte wenden Sie sich zur Unterstützung an Ihren Hardwarepartner/ Ihren Hardwarebetreuer, von dem Sie das KIM-Clientmodul bezogen bzw. installiert bekommen haben.
Wir haben Kunden, die nach unserem Kenntnisstand dieses KIM-Modul im Einsatz haben, noch einmal gesondert angeschrieben.
Normale Netzwerknutzer sollten diese Installation nicht alleine durchführen, da Administratorenrechte erforderlich sind, ohne die alle Einstellungen der Einrichtung überschrieben und gelöscht werden.
Das Schreiben finden Sie auch noch einmal in unserem Kundenbereich.
KV-Connnect
nicht betroffen
Konnektoren
Secunet: nicht betroffen
RISE: Betroffen. Das Firmware 3.5.11 steht bereit und installiert sich automatisch.
KoCoBox: Anfrage gestellt – noch keine Information erhalten
ePA-Modul / easyTI
Nicht betroffen. Das Modul wird weder lokal noch in den Onlinediensten eingesetzt.
Telematikinfrastruktur
TI war betroffen.
Seit dem 14.12.2021 sind die meisten TI-Dienste (insbesondere VSDM) wieder nutzbar.
Doctolib hat uns folgendes Statement zur Verfügung gestellt:
Doctolib hat die Sicherheitslücke im Open-Source-Apache-Dienstprogramm „Log4j 2“
(CVE-2021-44228) seit deren Veröffentlichung aktiv verfolgt:
Die Systeme von Doctolib sind für diesen Angriff nicht anfällig, da alle notwendigen Maßnahmen ergriffen wurden, um unsere Systeme und deren Dienste für Ärztinnen und Ärzte, sowie Patienten und Patientinnen zu schützen.
Alle Lösungen von Drittanbietern, die wir nutzen, werden derzeit geprüft und die Partner kontaktiert, um sicherzustellen, dass alle Schutzmaßnahmen ergriffen werden. Wir arbeiten eng mit den Anbietern zusammen, um sicherzustellen, dass sie von dieser Sicherheitslücke entweder verschont bleiben oder schnellstmöglich erforderliche Maßnahmen zur Behebung durchzuführen.
fiskaly – Cloud TSE – Erweiterung Technische Sicherheitseinrichtung der FIDUS Kasse
Nicht betroffen. Folgendes Statement haben wir erhalten:
„Es wurde ein ZeroDay Exploit für das Java Logging-Werkzeug Log4j entdeckt und vom BSI (Bundesamt für Sicherheit in der Informationstechnik) als kritisch klassifiziert. fiskalys Produktionssysteme, das heißt alle Systeme, Dienste, APIs, die auf developer.fiskaly.com/api aufgelistet sind, sowie das fiskaly Dashboard sind NICHT betroffen.“
—-
Derzeit liegen uns noch keine weiteren Informationen von Messgeräteherstellern oder anderen Komponenten Herstellern vor.
Sollten uns Informationen zukommen, die für Sie als Anwender relevant sind, werden wir Sie selbstverständlich sofort informieren.
