Das ist der Punkt, die Softwareentwickler setzen immer weiter auf Vorgefertigtes auf. Dies führt dazu, dass die den Code im Detail selbst nicht mehr verstehen (müssen).

Früher kannte man die Buchstaben, dann die Worte, dann die Texte und heute halt noch die Briefe, wobei man nur die Überschrift kennen muss.

Schadcode befindet sich m.E. häufig versteckt in den Buchstaben ...

PS: dennoch kann, mit geeigneten Programmiersprachen bzw. ausreichender Qualifikation, wohl sicher programmiert werden

Moin in die Runde, 

heute gab es ja eine blaue Titelzeile hier in der Community mit dem Hinweis auf neue Updates zu den Problemen.

Vielen Dank an DATEV für diesen zusätzlichen Hinweis, ansonsten hätte ich es sicher viel später gemerkt. 

Man sitzt ja abends im Büro, nichts Böses denkend und in der Hoffnung, etwas vom Tisch zu bekommen, dann doch noch mal ein paar Hotfixes, die kann man ja mal fix installieren... oder auch nicht so fix. 

Bislang dachte ich immer, Hotfixes können auch im Hintergrund laufen und man selbst weiter arbeiten. Dann kam der Hinweis: Besser sei es, den Arbeitsplatz zu verlassen. Später erforderte die Installation auch Neustarts. Also nicht ganz so einfach und locker.

Aber wenn es hilft, kann ich gut damit leben und hoffe die Updates kommen rechtzeitig und dafür danke ich DATEV. Mein Beitrag hier soll vor allem als Hinweis dienen, dass diese Hotfixes nicht ganz so einfach zu sein scheinen. 

Frohes Schaffen wünscht

WF 

Könnten Sie bitte dann einmal hierzu Stellung nehmen?

https://www.heise.de/amp/news/Neue-Probleme-Log4j-Patch-genuegt-nicht-6295343.html

Danke.

---

@Gelöschter Nutzer schrieb:

nur leider war der Installationsmanager mal wieder der Meinung, dass mit dem letzten Update nicht alle Daten aktualisiert werden konnten, und er vorher einen Neustart haben wollte.

---

Taskmanager und den Task aka Installationsmanager abschießen. Ob das zu 100% klappt, weiß ich aus Erfahrung gerade nicht mehr aber wäre mein erster Reflex gewesen. Warum diese Meldung kommt, ist mir auch total schleierhaft.

---

@Stefanie_Herold schrieb:

Beim Thema Security verstehen wir überhaupt keinen Spaß‼️

---

Naja, liebe Steffi - SmartVerify ist da wohl kein gutes Beispiel (wenn es vorher schon sehr sicher war) und die Community hat bis heute keine 2FA Authentifizierung. 

Und selbst wenn @Dirk_Jendritzki meint, dass die Community nicht zu einer Vertraulichkeitsklasse reicht: Wenn mein Account gehackt wird und damit Schabernack getrieben wird; Posts abgesetzt werden, die nicht von mir stammen; super toll - dann habe ich den Schaden. Identitätsdiebstahl ist nicht lustig! 

Wenn wir diese Aussage zu 100% ernst nehmen und das wirklich sauber durchziehen ist noch Luft nach oben. Gepaart mit Bequemlichkeit, was sich nicht immer ausschließen muss 😉. 

Und noch immer warte ich auf den großen Knall, wie sie bei Exchange und anderen Hacks mit Ransomware der Fall war. Ja, es laufen wohl Tests aber wenn jetzt mehr und mehr die Lücke schließen, kann man diese nicht mehr ausnutzen; auch wenn man vorher genau danach gescannt hat. Verhält sich nicht wie typische, reuelose Angriffe, denen egal ist, was passiert. Die sind nur aufs schnelle Geld aus. 

---

@grandfunck schrieb:

... heute gab es ja eine blaue Titelzeile hier in der Community mit dem Hinweis auf neue Updates zu den Problemen ...

---

... ich sage einfach auch mal "moin !" kurz vor Mitternacht und sogar als Nicht-Norddeutscher.

Danke für den Hinweis, @grandfunck 

... hatte ich glatt übersehen, obwohl ich hier ja oft und viel lese, ... seltsam ...

... dieses Hinweis-Fensterchen hatte für mich keinerlei Signalwirkung. Die Farbe war vielleicht laut Farbpsychologie und laut "großem Lüscher-Test" passend, aber ein kräftiges "rot" oder "gelb" oder gar mit blinkendem Text, wäre aus meiner Sicht besser gewesen.

Außerdem war nirgends ein Datum zu sehen.

Man kann nicht erkennen, ob dieser Hinweis 2 Stunden, 2 Wochen oder 2 Jahre da steht

... ich frage mich, wie die übrige Datev-Welt von dieser dringenden Handlungsempfehlung erfährt 

Moin zurück,

bei mir war's auch eher Zufall, irgendwie störte bzw. irritierte mich das Blau, also tatsächlich mal hingeschaut und dann wieder einmal froh, bei der Community dabei zu sein...

Hotfixes sing (hoffentlich) besser als nichts tun, den ganzen technischen Hintergrund verstehe ich leider so gut wie nicht, nur dass die Welt schlecht ist und das in der Weihnachtszeit. Aber damit habe ich mich schon längst abgefunden, Friede-Freude-Eierkuchen-Zeit ist vorbei, man muss sich halt selbst versuchen zu schützen wie und wo es geht.

Eine schöne Restvorweihnachtszeit wünscht

WF

edith: Eigentlich wollte ich ja von Friede-Freude-Lebkuchen schreiben ;-).

Danke, @danlen , für den Link,

... allerdings frage ich mich, wer unter den Datev-Anwendern diese kryptischen 'Befehle ' verstehen und anwenden kann

Beispiel:

Das Entfernen der JNDI-Lookup-Klasse etwa via zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class helfe jedoch gegen die Lücke, wenn ein Update noch nicht möglich sei.

... werden diese Schritte und 'Befehle' durch die neuen Datev-Hotfixe ausgeführt ?

... kann man die evtl. dort 'eingebauten' Scripte lesen ?

... vielleicht lassen sich die Scripte ja editieren/erweitern/anpassen (auf andere Datenpfade außerhalb der Datev-Anwendungen und -Tools

---

@metalposaunist  schrieb:

---

---

@Stefanie_Herold schrieb:

Beim Thema Security verstehen wir überhaupt keinen Spaß‼️

---

Naja, liebe Steffi - SmartVerify ist da wohl kein gutes Beispiel (wenn es vorher schon sehr sicher war) und die Community hat bis heute keine 2FA Authentifizierung. 

 

Guten Morgen lieber Daniel,

du weißt, dass ich dich sehr schätze. Und deshalb möchte ich auch ein Zettelchen an deinen Wunschbaum hängen 🎄

Ich wünsche mir, dass wir Aussagen im jeweiligen Kontext betrachten und diskutieren.

Ich hab echt keine Zeit jeden Satz drei Tage lang einer globalgalaktischen Prüfung zu unterziehen, bevor ich ihn schreibe.

Und lass uns diese Diskussion ggf. gerne an anderer Stelle weiterführen, damit wir hier am Thema bleiben 

In diesem Sinne: Auf in einen neuen Tag ohne böse Überraschungen 🍀

Liebe Grüße

Steffi

Hallo und einen wunderschönen guten, neuen Morgen,

könnten Sie bitte dann einmal hierzu Stellung nehmen?

https://www.heise.de/amp/news/Neue-Probleme-Log4j-Patch-genuegt-nicht-6295343.html

Danke.

---

@danlen  schrieb:

könnten Sie bitte dann einmal hierzu Stellung nehmen?

https://www.heise.de/amp/news/Neue-Probleme-Log4j-Patch-genuegt-nicht-6295343.html

 

---

Guten Morgen @danlen,

wir sind bereits seit gestern Früh in einer dedizierten Bewertung für alle Anwendungen. Ich melde mich dazu heute Nachmittag.

Viele Grüße

Stefanie Herold

Danke, wir würden ggf. unsere Systeme noch vor dem Wochenende patchen bzw. absichern. 👍

---

@vogtsburger  schrieb:

 

... allerdings frage ich mich, wer unter den Datev-Anwendern diese kryptischen 'Befehle ' verstehen und anwenden kann

 

Beispiel:

Das Entfernen der JNDI-Lookup-Klasse etwa via zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class helfe jedoch gegen die Lücke, wenn ein Update noch nicht möglich sei.

... werden diese Schritte und 'Befehle' durch die neuen Datev-Hotfixe ausgeführt ?

 

---

Hallo zusammen,

bitte in den DATEV-Anwendungen nicht irgendwelche Java-Classes löschen.

Mit den aktuellen Hotfixes wurden alle derzeit bekannten Absicherungsmaßnahmen durchgeführt und die Wahrscheinlichkeit dabei etwas "kaputt" zu machen ist ziemlich hoch.

Viele Grüße

Stefanie Herold

Hallo Frau @Stefanie_Herold ,

in meinem Post hatte ich vom Inhalt der Scripts und von Programmen und Tools außerhalb der Datev-Anwendungen gesprochen 

---

@vogtsburger schrieb:

... vielleicht lassen sich die Scripte ja editieren/erweitern/anpassen (auf andere Datenpfade außerhalb der Datev-Anwendungen und -Tools

---

.. die Idee dahinter war, dass man evtl. mit Hilfe und durch Umschreiben der Datev-Scripts (als Vorlage) auch sonstige Datenpfade bereinigen könnte

... an den Datev-Scripts werde und würde ich niemals nicht 'herumfummeln'.

Das wäre mir zu kompliziert und zu riskant (wegen der Lauffähigkeit der Datev-Umgebung).

---

@danlen  schrieb:

 

könnten Sie bitte dann einmal hierzu Stellung nehmen?

https://www.heise.de/amp/news/Neue-Probleme-Log4j-Patch-genuegt-nicht-6295343.html

 

---

Hallo zusammen,

nun doch schon vor heute Nachmittag 🙂

Wir prüfen aktuell laufend anhand der vorliegenden Informationen bei allen DATEV-Anwendungen, inwieweit weitere Maßnahmen erforderlich sind.

Im Umfeld der lokalen DATEV-Anwendungen ist die von uns verbaute Version 2.15 von Log4J in der von uns verwendeten Konfiguration derzeit sicher.

Wir werden trotzdem - einfach um auf dem aktuellsten Stand zu sein - die Jasper-Komponente in DATEV Basis Ausgabe mit den Jahreswechselversionen am 30.12. mit der dann aktuellsten Version von Log4J ausliefern. Dies ist aktuell die Version 2.16.

Für das Anwaltspostfach sind wir auf die Zulieferung der BRAK angewiesen und stehen dazu in sehr engem Kontakt.

Sollte die nach wie vor sehr dynamische Situation einen früheren Austausch dringend erforderlich machen, werden wir natürlich entsprechend reagieren.

Viele Grüße

Stefanie Herold

Verbindlichsten Dank und eine schöne Weihnachtszeit 🎄

---

@vogtsburger  schrieb:

 

in meinem Post hatte ich vom Inhalt der Scripts und von Programmen und Tools außerhalb der Datev-Anwendungen gesprochen 

---

@vogtsburger schrieb:

... vielleicht lassen sich die Scripte ja editieren/erweitern/anpassen (auf andere Datenpfade außerhalb der Datev-Anwendungen und -Tools

---

.. die Idee dahinter war, dass man evtl. mit Hilfe und durch Umschreiben der Datev-Scripts (als Vorlage) auch sonstige Datenpfade bereinigen könnte

 

---

Ah ok, jetzt hab ich es verstanden 💡

Ich verstehe Ihre Unsicherheit total. Ein kühler Kopf hilft aktuell aber vermutlich am meisten 

In die Konfiguration von Software einzugreifen, würde ich auf keinen Fall tun. Überall wo Sie selbst Hand "rumfummeln", übernehmen Sie auch selbst das komplette Risiko für alles was passiert.

Wenn ich Kanzleiinhaberin oder Admin wäre, würde ich persönlich folgende Schritte unternehmen:

1. Tägliche saubere Datensicherungen.

2. Alle zur Verfügung stehenden Software-Updates der Hersteller einspielen. 

3. Alles, was nicht zwingend gebraucht wird, abschalten. Für meine eigene Ruhe vor allem nachts und am Wochenende.

4. Und natürlich entsprechende Sensibilisierung aller Mitarbeitenden.

Wenn Sie selbst keine exponierten Webserver betreiben und sich sozusagen in ihrem geschlossenen Client-Umfeld bewegen, sind Sie vor direkten Angriffen von außen schon mal per se ganz ordentlich geschützt. 

Und für indirekte Angriffe via Dateianhängen und ähnlichem gilt wie immer ein wachsames Auge - im Moment besser beide - bei allen Akteuren innerhalb ihres Netzwerks zu haben.

Viele Grüße

Stefanie Herold

---

@grandfunck  schrieb:

Moin zurück,

 

bei mir war's auch eher Zufall, irgendwie störte bzw. irritierte mich das Blau, also tatsächlich mal hingeschaut und dann wieder einmal froh, bei der Community dabei zu sein...

 

---

Das "Blau" hebt sich leider wirklich nicht ganz so alarmierend von den restlichen Seiteninhalten ab. Hier wäre eine andere Farbwahl oder evtl. einen farblichen Hinweis (Rotes oder gelbes Hinweisschild - ähnlich Störung-Hinweise in DUO) dazuschalten.
Vll. kann @Stefanie_Herold dies mal weitergeben.

Aber auf jedenfall ist es Lobenswert von DATEV, dass der Hinweis geschaltet ist. 

Hackerangriff auf den BFH:

https://www.tagesschau.de/inland/bundesfinanzhof-hackerangriff-101.html?fbclid=IwAR3-EQtFLYuQtKr461a1ADKKMiT-Xet5phViX_Fd6M5fPfJESJyfs6v66eM

---

@hoorpeter schrieb:

... Das "Blau" hebt sich leider wirklich nicht ganz so alarmierend von den restlichen Seiteninhalten ab ...

---

... vor allem befindet sich dieser Hinweis nicht im normalen Blickfeld. Da man ja gewöhnlich am Ende eines Threads liest und nicht ganz oben über dem ersten Post. 

... diese Pastellfarben sind eher zum 'Einlullen' geeignet als zum 'Aufschrecken'

... am besten wären vielleicht PopUp-Fenster oder Sprechblasen an der Cursorposition oder Ähnliches

Der Bund scheint seine Prioritäten scheinbar anders zu setzen.

Ist ja nicht das erste Mal, dass öffentliche Einrichtungen gehackt werden..(Bundestagsverwaltung, Berliner Kammergericht, Stadt Witten.....).

Hallo,

zur Info, da ich vermute dass auch hier euch einige sv.net-Anwender unterwegs sind. Ich habe bei der Hoteline angefragt und heute eine kurze E-Mail erhalten:

Nach eingehender Prüfung können wir Ihnen mitteilen, dass sv.net-Anwender von dieser Sicherheitslücke nicht betroffen sind.

da war einer schneller 🙂

Moin

Der BFH sagt, der Angriff hat keine Probleme verursacht (außer das die Webseite offline war/ist (hab ich nicht geprüft)

Für Datev on premise gab es m.E. keine echte Gefahr, denn Jasper hätte von intern mich einem kompromittierten Dokument gefüttert werden müssen. 

BEA will sowieso erst das Update haben (so war's jedenfalls bei uns). Elster Authentificator hätte vor der Erklärung bei Elster auch nur bei Kompromittierung der Elster-Seite eine Gefahr sein können - mit Haftung der bayr. Betreiber.

Bleibt echt nur die Frage, wie steht's um die Datev-Cloud-Dienste. Wenn die Datev heute damit durch sind, wohl eher gut. Was Heise berichtet, geht's erst jetzt richtig los. Bisher gab es wohl nur Tests.

Sofern noch nicht alle Cloud-Dienste save sind, wüsche ich mir ein da eine Warnung - und ggf. eine vorübergehende Abschaltung damit diese Dienste nicht übernommen werden können und u.U. auf lokale Installationen überspringen können. Mag nicht einfach sein, doch wir wissen halt auch nicht über welches Know-How die Angreifer verfügen! Und dies Datev mit ihren Mitglieder ist sicherlich nicht unattraktiv.

Insofern: Es sieht erstmal gut aus, aber liebe Datev berichtet über euer Cloud konkreter! Ggf. blockt für einige Zeit einen Dienst. Ist doof, aber ihr wußtet die Lücke ja auch nicht!

QJ

Hallo zusammen, 

hier ein kurzer Status zum heutigen Samstag. 

Wir kennen, prüfen und bewerten weiterhin rund um die Uhr alle bekannten und neuen Angriffsvektoren. 
Bisher gibt es keine Anhaltspunkte, die Auswirkung auf die bisherige Bewertung für lokal installierte Anwendungen haben. 
Die DATEV Cloud-Anwendungen sind natürlich per se stärker gefährdet und stehen deshalb auch besonders im Fokus. Nach aktueller Erkenntnis sind alle DATEV Cloud-Anwendungen auf einem sicheren Stand und werden laufend weiter aktualisiert. Derzeit findet bereits Updates auf die Version 2.17 statt.  

In dem Fall, dass wir für Anwendungen die Sicherheit nicht mehr sicherstellen können, werden wir auch Anwendungen präventiv vorübergehend abschalten. 
Darüber hinaus lassen wir unsere Sicherheitssysteme aktuell zusätzlich laufend von externen Sicherheitsexperten über alle Angriffsvektoren penetrieren und testen sie damit auf ihre Stabilität und Robustheit. 
 

Ein “Überspringen” aus den Cloud-Anwendungen auf Client-Systeme ist nach unserer Einschätzung derzeit nicht möglich. 

Viele Grüße 🍀
Stefanie Herold 

Guten Tag Frau Herold,

auch in Angesicht der "Gefahr" einer Wiederholung:

Ein herzliches DANKE! Sie machen einen GROSSARTIGEN Job und die im Hintergrund arbeitenden Kollegen natürlich ebenso.

Immer wenn der Baum brennt sind SIE da und kommunizieren das Notwendige.

Viele Grüße!

R. Geiler

Ich weiß nicht, was in dem "Proof Of Concept" verwendet wurde, um diese Sicherheitslücke nachzuweisen, aber Java-Entwickler mit entsprechenden Programmierkenntnissen und Absichten könnten doch auch nach diesem Muster Schadsoftware einschleusen

Wo eine Nachfrage ist, da gibt es auch bald oder jetzt schon Angebote

... auf folgender URL wird eine Liste der betroffenen und nicht betroffenen Software veröffentlicht

https://github.com/cisagov/log4j-affected-db

(evtl. wurde diese Adresse in einem früheren Post bereits genannt, ist mir aber noch nicht begegnet und 'frisst kein Brot')

Nachtrag:

https://www.cisa.gov/about-cisa

(="CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY")

"An official website of the United States government"

(eine staatlich Behörde in den USA)

(falls man der englischen Sprache 'mächtig' ist, findet man dort auch 'mächtig' viele Informationen zum Thema Cyber-Sicherheit )

Hallo zusammen,

die Lage bleibt weiterhin dynamisch und wir sind rund um die Uhr an allen Entwicklungen dran.
Ab heute 14:00 Uhr (Montag 20.12.) stehen aktualisierte Hotfixes bereit.

Wie am Samstag bereits berichtet, werden die DATEV Cloud-Anwendungen permanent den neuen Gegebenheiten angepasst.

Für die lokal installierten DATEV-Anwendungen haben wir bereits letzte Woche am Dienstagabend erste Sicherheitsupdates veröffentlicht, die die Version 2.15 der verwundbaren Java-Komponente Log4J enthalten. Grundsätzlich gelten Client-Umgebungen nach wie vor als nicht direkt angreifbar. Bei Mail-Attachments ist aber auch hier wie immer Vorsicht geboten.

Aufgrund der dynamischen Lage stellen wir Ihnen heute voraussichtlich ab 14:00 Uhr (Montag 20.12.) nochmal folgende aktualisierte Hotfixes und Downloads zur Verfügung, die die jetzt aktuelle Version 2.17 von Log4J enthalten.

• Hotfix B0001429-01530
• Hotfix B0001429-01760
• Hotfix B0001429-01930
• Download DATEV Mittelstand 2021 - Servicerelease  (ab 18:15 Uhr)
• Download Jasper Reports V. 1.53 für Lohn und Gehalt compact V. 11.6x (ab 18:15 Uhr)

Die Installation wird von DATEV empfohlen.

Die Jahreswechsel-Versionen ab 30.12. enthalten dann ebenfalls die aktuelle Version.

Keine Aktualisierung für Anwaltspostfach
Für das Anwaltspostfach gibt es leider noch keinen Ausblick, da wir hier auf die Zulieferung der Bundesanwaltskammer angewiesen sind. Wir stehen dazu weiterhin in engem Kontakt.

Viele Grüße aus Nürnberg

Stefanie Herold

... Danke, Frau @Stefanie_Herold , für die aktuellen Infos 

... aber noch eine Frage :

lässt sich das 'dezente', pastellfarbene, 'schüchterne' Hinweis-Fenster im Kopfbereich der Community-nicht etwas 'kräftiger' darstellen, mit Signalfarben (gelber oder roter Hintergrund, blinkender Text, jedenfalls auffallend auffällig, ***bleep*** auf Datev-Corporate-Design 😎), um 'schlafende Hunde' zu wecken, auch diejenigen, die vor dem Bildschirm kurz vor dem Einschlafen sind ?

Nachtrag:

... noch besser wäre natürlich ein Hinweis oder Warnsymbol oder etwas Ähnliches, das auf jedem Bildschirm der Community erscheint, also im Bereich, der oben fixiert und permanent zu sehen ist