Wichtige Informationen für unsere Kunden

Sehr verehrte Kunden,

Sie haben sicher aus der Tagespresse erfahren, dass es derzeit seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine neue Warnstufe gibt.
Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führt nach Einschätzung des BSI zu einer extrem kritischen Bedrohungslage. Das BSI hat daher seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft. Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte.

Zunächst ist wichtig festzuhalten, dass der ZEISS-Konzern derartige Warnungen sehr ernst nimmt und die Sicherheit unserer Produkte die größtmögliche Priorität besitzt.

Wir möchten Ihnen jedoch in Bezug auf die Warnung des BSI zur Seite stehen und Ihnen transparent Ihre nachvollziehbaren Bedenken nehmen.

Was können wir zum aktuellen Zeitpunkt in Bezug auf unsere Produkte sagen:

  • Die Untersuchungen, inwieweit Produkte von ZEISS, die die in Frage kommenden grundsätzlichen Bedenken des BSI betreffen, werden auch ungeachtet von Meldungen aus der Tagespresse, ständig bei ZEISS durchgeführt, so dass hier eine stetige Aktualität gewährleistet werden kann.
  • Es ist so, dass insbesondere die vorliegenden ZEISS IQS Applikationen nicht auf Basis von Java entwickelt werden und daher auch keine Komponenten enthalten, welche unter die aktuelle Sicherheitswarnung des BSI fallen.
  • Selbstverständlich werden wir Sie im Rahmen unserer ständigen Sicherheitsanalysen wie bisher gewohnt in Kenntnis setzen.
  • Sollten Sie selbst Erkenntnisse über etwaige Sicherheitsprobleme erhalten, bitten wir Sie uns hierüber möglichst unverzüglich in Kenntnis zu setzen.

Für die nachfolgend aufgeführte Produkte (nicht abschließend), können wir nach Analyse, basierend auf der Stellungnahme des BSI zur Gefährdung in Bezug auf (CVE-2021-44228) ausschließen, dass diesbezüglich eine Gefährdung vorliegt. Grund hierfür ist, dass in den Produkten kein „Log4J“ implementiert ist.

Damit liegt nach den uns aktuell vorliegenden Erkenntnissen keine Gefährdung für die aktuellen Releases und der jeweils enthaltenen Drittanbieter-Komponenten in Bezug auf die Sicherheitswarnung des BSI vor.

Bei den analysierten Produkten handelt es sich um folgende:

ZEISS ACCTee Pro
ZEISS AirSaver
ZEISS BLADE PRO
ZEISS CALIGO
ZEISS CALYPSO
ZEISS CMM-OS
ZEISS CMM-OS NEO
ZEISS FixAssist CT
ZEISS GEAR PRO
ZEISS iDA
ZEISS License Management Tool
ZEISS MCC
ZEISS METROTOM OS
ZEISS NEO pixel
ZEISS NEO select
ZEISS PiWeb
ZEISS PiWeb Cloud
ZEISS REVERSE ENGINEERING
ZEISS Smart Services Dashboard
ZEISS Stylus System Creator
ZEISS TEMPAR
ZEISS ZAPHIRE
ZEISS ABIS Softwarepakete
ZEISS ABIS Planner
ZEISS Intact 1200 /1600 Software
ZEISS Colin 3D
ZEISS T-Scan Collect (Interface)
ZEISS HOLOS
VISIO7
ZEISS SES viewer
ZEISS NEO viewer
NZDI
ZEISS CMM Agent
ZEISS DeviceActivator
ZEISS Tracer Service

Die in den Messmaschinen zum Einsatz kommende Firmware C99 verwendet keine Log4j Bibliothek. Alle Messmaschinen, in denen die Firmware zum Einsatz kommt, sind somit nicht von der Sicherheitslücke betroffen.

Diese Aufzählung ist nicht abschließend und wird nach entsprechender sicherheitsrelevanter Analyse gegebenenfalls erweitert.

Diese Mitteilung basiert auf dem Stand zum 12.01.2022 12:00 Uhr.

Gerne stehen wir Ihnen mit unserem Produktsupportteam
(software -support .metrology .de @zeiss .com) und unserer Sicherheitsabteilung für Ihre Fragen zur Verfügung.