Sofortmaßnahmen der Helaba InvestSicherheitslücke „log4j“
Als Helaba Invest Kapitalanlagegesellschaft mbH nehmen wir das Thema IT-Sicherheit sehr ernst und schützen die Daten unserer Kunden. Die Java Bibliothek „log4j“ ist weit verbreitet und wird in vielen Anwendungen (auch Kaufprodukten) verwendet. Aus diesem Grund ist auch die Helaba Invest von der Sicherheitslücke betroffen.
Wir haben als Sofortmaßnahme die bei der Helaba Invest eingesetzten Anwendungen identifiziert, die diese Java Bibliothek verwenden und implementieren Fixes/Updates bzw. Workarounds, sobald diese vom jeweiligen Hersteller zur Verfügung gestellt werden. Bei selbstentwickelten Anwendungen laufen derzeit die Aktualisierungen auf eine log4j Version, bei der die Sicherheitslücke nicht mehr vorhanden ist. Weiterhin prüfen wir, ob bei uns noch weitere Anwendungen im Einsatz sind, die log4j verwenden und vulnerabel sind. Hier sind wir teilweise auf noch ausstehende Rückmeldung von externen Herstellern angewiesen.
Zwar haben wir zum jetzigen Zeitpunkt verdächtige Aktivitäten entdeckt, die mit log4j in Verbindung stehen. Jedoch hat keine dieser Aktivitäten zu einer Verletzung der Vertraulichkeit der Daten oder zu einer Kompromittierung der Systeme geführt. Selbstverständlich beobachten wir auch weiterhin alle Systeme auf verdächtige Aktivitäten im Rahmen unserer IT-Sicherheitsroutinen.