Nur sehr wenige Digital Signage CMS-Anbieter haben ihr IT-Sicherheitsmanagement zertifiziert. Mittels ISO 27001 können zertifizierte Software-Anbieter nachweisen, dass sie über ein anerkanntes IT-Security Management System verfügen. Im Fokus steht die jeweilige Konformität der Plattform mit Gesetzen und Regulatorien sowie eine transparente Marktkommunikation.
Appspace, Econocom (Altabox), Intuiface, Samsung MagicInfo und SignageLive sind die bisher uns bekannten Digital Signage Anbieter, die über eine aktuelle ISO 27001 Zertifizierung verfügen. Der große Rest der Digital Signage Branche hinkt hinterher – kaum eine andere B2B-Software Kategorie ist offensichtlich so schlecht beim Thema IT-Security aufgestellt.
We are aware of the log4j remote code execution (RCE) vulnerability. #Intuiface does not use Java on any production server, so our infrastructure is neither impacted nor at risk. 👌
More on the vulnerability here: https://t.co/wEqNhHSV3a— Intuiface (@Intuiface) December 15, 2021
Seit einigen Tagen nun ist die Log4j-Zero-Day-Schwachstelle bekannt. Hacker suchen intensiv nach Schwachstellen. Erste Analysen lassen vermuten das am häufigsten Logging-Dienstprogramme eine klaffende Sicherheitslücke aufweisen, die die Remote-Ausführung von Exploit-Code ermöglicht. Das Ausmaß der Sicherheitslücke ist Tage nach Entdecken noch nicht auszumachen, nur das die Hälfte der gehackten IT in den USA laut Bitdefender Labs betrieben werden, 6% der Opfer weltweit sind IT-Installationen in Deutschland. Die meisten Attacken erwarten die IT-Security Experten von Bitdefender erst in der nächsten Zeit, sodass der wahre Schaden erst in ein paar Wochen feststeht.
Update 21.12.: Folgende Digital Signage Plattformen bestätigten das sie weder auf den Servern noch in der Playersoftware Log4j einsetzen.
- Appspace
- Easescreen
- Econocom (Altabox)
- Grassfish
- M-Cube (Calipa),
- Navori
- POS.SCREEN (News Rodeo)
- Spinetix
- ZetaDisplay
ISO 27001 Zertifizierungen schützen nicht davor schadhafte Software zu entwickeln oder zu integrieren, aber zertifizierte Unternehmen haben ein IT-Management realisiert, das ein schnellstmögliches und kosteneffizientes Sicherheitsmanagement ermöglicht.
Die zertifizierten Digital Signage Anbieter konnten dank etablierter Prozesse in kürzester Zeit ihre Lösung auf die Schwachstelle überprüfen und Kunden transparent und zeitnah informieren. Auch wenige nicht-zertifizierte Anbieter haben ihren Code-überprüft und gehen aktiv in die Kommunikation z.B. Navori.
Statement to our valued customers and partners regarding the Apache/Log4j vulnerability currently making headlines worldwide: pic.twitter.com/4z5X46URfd
— NAVORI LABS (@Navori) December 16, 2021