Das Internet war in den letzten Tagen voll mit Meldungen über eine kritische Sicherheitslücke. In einem Softwarepaket namens log4j ist eine Sicherheitslücke aufgefallen, die selbst das BSI als „kritische Bedrohungslage“ beschreibt und dafür Warnstufe Rot ausruft.
Ist ChurchTools (Software) betroffen?
Nein. Das genannte Softwarepaket wird von ChurchTools nicht verwendet, da es auf einer ganz anderen Programmiersprache basiert. Somit besteht und bestand auch nie ein Sicherheitsrisiko für unsere Kunden oder deren Daten.
Maßnahmen wurden dennoch getroffen
ChurchTools als Firma setzt intern für den Betrieb dennoch Java-basierte Dienste ein, die log4j als Abhängigkeit verwenden. Wir haben nach Bekanntwerden der Sicherheitslücke diese Dienste sicherheitshalber heruntergefahren (das hat keine Auswirkung auf unsere Kunden!) und all unsere Dienste sorgfältig überprüft. Dabei konnten wir keine Ausnutzung dieser Sicherheitslücke feststellen. Zudem sind diese Dienste nicht aus dem Internet erreichbar, sondern stehen nur ChurchTools Mitarbeitern zur Verfügung (Stichwort: VPN).
IT-Sicherheit liegt uns sehr am Herzen und wir sind froh darüber, dass wir und unsere Kunden von dieser Lücke nicht betroffen sind. Die Sicherheit der Kundendaten ist uns ein großes Anliegen!