Als am frühen Freitagmorgen eine große Anzahl von Systemen auf der ganzen Welt von einer kritischen Open-Source-Sicherheitslücke in Log4j betroffen war, konnte PTC seine SaaS-Kunden in Sicherheit bringen. Innerhalb von nur drei Stunden haben wir dieses schwerwiegende Problem für alle Kunden, die Produkte auf unserer SaaS-Plattform Atlas verwenden, entschärft.

Ein Gast-Experten-Kommentar von Steve Dertien, EVP Chief Technology Officer, PTC (Foto PTC) 

Unsere kurze Reaktionszeit war möglich, weil in der Welt der SaaS-Bereitstellung alles hochgradig automatisiert und einfach zu skalieren ist. Die Software wird aktualisiert, ohne dass der Benutzer etwas dafür tun muss. Das bedeutet auch, dass bei kritischen Sicherheits- oder Softwareproblemen keine manuellen Eingriffe beim Kunden erforderlich sind.

Um 3:22 Uhr EST entdeckten die PTC-Ingenieure die Sicherheitslücke in Log4j 2, und um 5:30 Uhr EST war die Behebung des Problems auf unsere SaaS-Plattform Atlas übertragen. Um 9:27 Uhr EST hatte das Onshape-Team seinen gesamten Service überprüft und war zuversichtlich, dass es keine ausnutzbaren Schwachstellen und kein Risiko für Kundendaten gab.

Die gesamte Aktualisierung war abgeschlossen, bevor die offizielle Erklärung der CVE (Common Vulnerabilities and Exposures Organization) gegen 10:00 Uhr EST veröffentlicht wurde.

Nach Abschluss der Aktualisierung begannen wir mit der Analyse unserer Systeme, um festzustellen, ob sie vor der Behebung erfolgreich attackiert worden waren. Wir fanden keine Belege dafür, aber jede Menge Telemetriedaten zeigten das wachsende Interesse an der Ausnutzung der Sicherheitslücke zeigen.

In der Zwischenzeit ist der Rest der Welt damit beschäftigt, Hunderte oder Tausende von Systemen manuell zu beheben, meist eines nach dem anderen. Während einer Krise, wie bei diesem plötzlichen Auftreten der Log4j 2-Schwachstelle, ist das eine Ewigkeit, und man kann nur vermuten, dass die Gelegenheit für einen Angriff durch eine Hintertür bereits genutzt wurde.