Aufgrund der Sicherheitslücke Log4Shell (auch bekannt als CVE-2021-44228) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die IT-Bedrohungslage die höchste Warnstufe Rot ausgerufen. Die extrem kritische Sicherheitslücke in der weit verbreiteten Java-Bibliothek Log4j bedroht die IT zahlreicher Unternehmen. Während alle SAP-Cloud-Systeme bereits mit Patches versorgt wurden, können On-Premise-Systeme von SAP von der Sicherheitslücke betroffen sein. Auch für Applikationen auf SAP BTP Neo und Cloud Foundry bzw. für eigene Integration Flows in SAP Cloud Integration kann die Schwachstelle in Log4j relevant sein (siehe SAP Note 3130846).
Eine aktuelle Übersicht der betroffenen bzw. der nicht betroffenen Systeme stellt SAP bereit. Im Zweifel empfehlen wir, einen SAP-Incident zu erstellen, um zu prüfen, ob Ihre aktuell eingesetzten SAP-Produkte von der Sicherheitslücke Log4Shell betroffen sind.
Für SAP Identity Management (IdM) gibt es aktuell keinen Handlungsbedarf. In der SAP Note 3131771 heißt es dazu: „SAP IdM verwendet die Log4j-Bibliothek in der Version 1.2.x, die von der Sicherheitslücke nicht betroffen ist.“
Jedoch könnte der AS Java von der Sicherheitslücke betroffen sein, wie aus der SAP Note 3129883 hervorgeht. Unsere Security-Experten unterstützen Sie kompetent bei der Erkennung und Behebung der Sicherheitslücke Log4Shell im Kontext Ihrer SAP-Systeme. Sie können sich für die Einspielung entsprechender Patches jederzeit an uns wenden, wenn es erforderlich werden sollte.