»Log4J» Stellungnahme Kendox AG - Aktualisiert

Montag, 20. Dezember 2021

1 Einleitung

Die sog. Log4J Lücke, die es Cyberkriminellen erlaubt, IT-Systeme anzugreifen, wurde am Sonntag, den 12.12.2021 in diversen Medien publiziert.

Kendox AG (Kendox) hat noch am Sonntagvormittag – sofort nach Bekanntwerden der Bedrohung - begonnen, Systeme zu sichten und Kontrollen durchzuführen. In der Zwischenzeit haben wir auch mit allen relevanten Softwarelieferanten und Rechenzentrumspartnern kommuniziert.

Wir haben die einschlägigen Vorschläge zur Absicherung der «Lücke» gesichtet und entsprechende Maßnahmen ergriffen.

 

2 Erkenntnisse

2.1 InfoShare

Bis zum aktuellen Zeitpunkt - Montag, 13. Dezember 2021 17 Uhr – sind keine relevanten Bedrohungsszenarien bei Kendox Systemen festgestellt, welche auf Kendox InfoShare aufbauen.

Die Kendox InfoShare Software verwendet das gegenständliche Open Source Modul nicht.

Diese Aussage gilt sowohl für InfoShare Cloud Services als auch für InfoShare on-prem Systeme.

 

2.2 Rechenzentrumsbetrieb

Es ist nicht auszuschließen, dass Softwarelösungen von Lieferanten oder Rechenzentrums-Verwaltungssoftware-Anwendungen dieses Modul verwenden. Die möglicherweise betroffenen Softwarekomponenten sind jedoch in jedem Fall durch Firewalls geschützt.

Für das CH-Rechenzentrum konnte bereits festgestellt werden, dass keine Gefährdung besteht, da die Softwarekomponenten aus der Rechenzentrumsverwaltung, die allenfalls Log4J enthalten könnten, nicht öffentlich erreichbar sind.

Für das DE-Rechenzentrum sind die Abklärungen in der Zwischenzeit ebenfalls abgeschlossen; dabei wurde festgestellt, dass keine Gefahr besteht, da die Softwarekomponenten aus der Rechenzentrumsverwaltung, die allenfalls Log4J enthalten könnten, nicht öffentlich erreichbar sind.

 

2.3 Purchase-to-Pay

«Log4J» wird in einem Java-basierenden Softwaresystem des Softwarelieferanten Axon Ivy AG benutzt. Wir setzen dieses Softwaresystem als Teil der «Kendox Enterprise Purchase-to-Pay» Lösung ein.

Allerdings verwendet Kendox nur Komponenten des Axon Ivy Softwaresystems, bei denen die betroffenen Versionen von Log4J nicht verwendet werden.

In denjenigen Komponenten der Softwarelösung smart INVOICE von Insiders Technologies GmbH, die Kendox ebenfalls für Purchase-to-Pay Prozesse einsetzt, wird Log4J laut Auskunft des Softwareherstellers nicht verwendet.

 

2.4 TaskLink

TaskLink ist eine IBM i basierende Softwarelösung. In den IBM i basierenden Teilen der Lösung ist Log4J nicht einsetzt. Ob in diversen Hilfsanwendungen bei einzelnen Kunden Software eingesetzt wird, die Log4J beinhaltet, ist nicht mit 100%-iger Sicherheit ausgeschlossen werden. Diesbezügliche Abklärungen sind im Gange.

 

3 Nächste Schritte

Wir gehen davon aus, dass alle spezifischen Abklärungen erledigt sind.

Sollten neue Aspekte der Problemstellung bekannt werden, werden wir erneut kommunizieren.