Wir haben eine Sicherheitslücke geschlossen
In diesem Blogartikel möchten wir unsere Kunden über eine Sicherheitslücke informieren, die wir geschlossen haben.
In diesem Blogartikel möchten wir unseren Kunden eine gute und eine schlechte Nachricht mitteilen.
Wie so üblich, beginnen wir mit der schlechten Nachricht: Ende September 2021 haben wir sowohl vom Bayerischen Landesamt für Datenschutz als auch vom Bundesministerium für Sicherheit in der Informationstechnik den Hinweis einer Gruppe von Sicherheitsforschern erhalten, der uns darauf aufmerksam gemacht hat, dass es eine Sicherheitslücke in der damals aktuellen Version 1.5.1 (Release am 6.10.2020) der Desktop-Software gab. Anhand dieser Schwachstelle wäre es theoretisch möglich gewesen, auf private Daten unserer Kunden zuzugreifen.
Nun greift aber glücklicherweise die gute Nachricht: Tatsächlich waren keine Kundendaten betroffen und die Sicherheitslücke wurde sofort von uns behoben. Es besteht also für unsere Kunden kein Anlass zur Sorge.
Und nun die Details:
Wir wurden am 21. September bzw. 22. September 2021 vom Bayerischen Landesamt für Datenschutzaufsicht und dem Bundesministerium für Sicherheit in der Informationstechnik auf diese Sicherheitslücke aufmerksam gemacht und haben sofort reagiert – Datenschutz steht schließlich auch für uns an oberster Stelle. Im ersten Schritt haben wir den Zugriff auf die Daten sofort gesperrt und im zweiten Schritt (am 23. September 2021) eine neue Version der Software released, die die fehlerhaften Dateien, die den Zugriff ermöglicht haben, nicht mehr enthielt. Mit diesen Maßnahmen war und ist ein potenzieller Zugriff auf Kundendaten nicht mehr möglich.
Außerdem haben wir sofort eine detaillierte Analyse bei einem IT-Dienstleister in Auftrag gegeben. Diese hat ergeben, dass die der Fehler im Zuge einer komplexen Umstellung der Software auf mehrere Sprachen und Betriebssysteme unwissentlich verursacht wurde. Nach ausführlicher Prüfung gemeinsam mit dem Bayerischen Landesamt für Datenschutzaufsicht können wir aber bestätigen, dass diese Schwachstelle nicht vorher entdeckt bzw. ausgenutzt wurde, sondern ausschließlich von den Forschern genutzt wurde, um die Schwachstelle zu melden. Es sind also zu keiner Zeit Kundendaten betroffen gewesen bzw. für schädliche Zwecke verwendet worden.
Was bedeutet das für unseren Kunden?
Es besteht kein Handlungsbedarf von Seiten unserer Kunden. Es wurden keine Kundendaten kompromittiert oder der Öffentlichkeit zugänglich gemacht, wie die Prüfung mit den Datenschutzbehörden ergab.
Was bedeutet das für uns?
Die Sicherheit der Daten unserer Kunden hat für uns oberste Priorität. So ist der gesamte Übertragungsprozess SSL-Verschlüsselt und die Daten werden verschlüsselt auf unseren Servern gespeichert. Außerdem lassen wir durch regelmäßige Penetrationstests von externen Sicherheitsforschern unsere Strukturen testen. Dennoch ist es in diesem Fall zu einem menschlichen Fehler gekommen, den wir sofort korrigiert haben, nachdem er uns bekannt wurde.
Um eine solche Fehlerquelle in Zukunft zu vermeiden, haben wir außerdem zusätzliche Prüfschleifen für sicherheitskritische Codes eingeführt.
Dadurch heben wir unserer Sicherheitsniveau noch weiter an, damit du dir weiterhin keine Sorgen um deine Daten machen musst.
Und zu guter Letzt:
Wir möchten an uns an dieser Stelle bei den Sicherheitsforschern, dem bayerischen LDA und dem BSI bedanken, die uns auf diese Sicherheitslücke aufmerksam gemacht haben und sie gemeinsam mit uns analysiert haben. So konnten wir sicherstellen, dass die Daten unserer Kunden sicher sind.
Wir danken auch unseren Kunden für ihr Vertrauen und wünschen weiterhin viel Freude beim Erinnerungen festhalten!
Euer gesamtes zapptales Team