{"id":107798,"date":"2021-01-07T15:27:59","date_gmt":"2021-01-07T14:27:59","guid":{"rendered":"https:\/\/blog.jetbrains.com\/?post_type=blog&p=107798"},"modified":"2021-01-11T15:30:39","modified_gmt":"2021-01-11T14:30:39","slug":"ein-update-zu-solarwinds","status":"publish","type":"blog","link":"https:\/\/blog.jetbrains.com\/de\/blog\/2021\/01\/07\/ein-update-zu-solarwinds\/","title":{"rendered":"Ein Update zu SolarWinds"},"content":{"rendered":"

Bitte lesen Sie unbedingt auch den Folgebeitrag vom 8. Januar 2021<\/a><\/strong><\/p>\n

Wir m\u00f6chten unseren Kunden ein weiteres Update in Bezug auf die SolarWinds-Sicherheitsverletzung<\/a> geben. An dieser Stelle wiederholen wir die Nachricht, die wir gestern gepostet haben<\/a> \u2013 wir haben weder eine Rolle in dieser Sicherheitsverletzung gespielt, noch sind uns irgendwelche Schwachstellen in TeamCity bekannt, die zu dieser Sicherheitsverletzung gef\u00fchrt haben k\u00f6nnten. Wir haben auch keine Kenntnis von einer laufenden Untersuchung.<\/p>\n

Was ist TeamCity und warum ist es in den Nachrichten?
\n<\/strong>TeamCity ist unser Tool f\u00fcr Continuous Integration und Delivery. Es dient dazu, die Erstellung, das Testen und optional das Deployment von Software zu automatisieren. Derzeit ist es generell nur als selbstgehostete Standalone-Anwendung verf\u00fcgbar, d. h. der Endbenutzer ist f\u00fcr die Installation, Konfiguration und Wartung des Systems verantwortlich, einschlie\u00dflich aller Sicherheits- und Zugriffseinstellungen.<\/p>\n

Basierend auf den \u00f6ffentlich zug\u00e4nglichen Informationen (die bisher die einzigen sind, die uns bekannt sind, da sich weder SolarWinds noch eine Regierungsbeh\u00f6rde mit Details zu der Sicherheitsverletzung an uns gewandt haben), scheint es, dass der Angriff auf SolarWinds auf deren Build-Prozess abzielte (was in den Medien als Supply-Chain-Angriff bezeichnet wird). SolarWinds verwendet w\u00e4hrend des Build-Prozesses unter anderen Tools TeamCity. Zum jetzigen Zeitpunkt gibt es jedoch, wie auch die Aussagen von SolarWinds’ eigenem Sprecher belegen, keine Beweise daf\u00fcr, dass TeamCity in irgendeiner Weise daran beteiligt war.<\/p>\n

\n

“SolarWinds nutzt, wie viele andere Unternehmen auch, ein Produkt von JetBrains namens TeamCity, um die Entwicklung seiner Software zu unterst\u00fctzen. Wir \u00fcberpr\u00fcfen alle internen und externen Tools als Teil unserer Untersuchungen, die noch nicht abgeschlossen sind”, sagte ein Sprecher von SolarWinds. “Das Unternehmen hat keine Beweise gesehen, die den Sicherheitsvorfall mit einer Kompromittierung des TeamCity-Produkts in Verbindung bringen”, sagte er.<\/p>\n<\/blockquote>\n

zitiert vom The Wall Street Journal<\/a>.<\/p>\n

Die Tatsache, dass TeamCity eines der Tools ist, die von SolarWinds w\u00e4hrend des Build-Prozesses verwendet wird, hat unserer Meinung nach zu der Berichterstattung gef\u00fchrt.<\/p>\n

Wurde JetBrains oder TeamCity kompromittiert?<\/strong>
\nBis heute haben wir keine Kenntnis davon, dass TeamCity oder JetBrains in irgendeiner Weise kompromittiert wurden, die zu einer solchen Situation f\u00fchren w\u00fcrde. Dar\u00fcber hinaus f\u00fchren wir nicht nur regelm\u00e4\u00dfige Audits unserer Software durch, sondern organisieren jetzt ein weiteres unabh\u00e4ngiges Sicherheitsaudit von TeamCity. Sollten wir eine Schwachstelle im Produkt finden, die dazu gef\u00fchrt haben k\u00f6nnte, werden wir in dieser Angelegenheit vollkommen transparent sein und unsere Kunden im Rahmen unserer Sicherheits- und Datenschutzrichtlinien<\/a> informieren.<\/p>\n

Es ist auch erw\u00e4hnenswert, dass wir selbst weder SolarWinds Orion noch irgendeine andere Software von ihnen verwenden.<\/p>\n

Hat dies Auswirkungen auf Ihre IDEs und andere Tools?<\/strong>
\nUnsere IDEs sind eigenst\u00e4ndige Tools und haben keinen Bezug zu TeamCity, au\u00dfer der Tatsache, dass wir unsere eigene Installation von TeamCity verwenden, um sie zu bauen. Wir haben keine Beweise, die darauf hindeuten, dass einer unserer Server oder unsere Standalone-Tools manipuliert wurden, und \u00e4hnlich wie bei TeamCity f\u00fchren wir regelm\u00e4\u00dfige Sicherheitsaudits f\u00fcr unsere Tools und Systeme durch.<\/p>\n

Bin ich sicher bei der Verwendung von JetBrains-Tools?<\/strong>
\nKeiner der bisher ver\u00f6ffentlichten Artikel, einschlie\u00dflich derjenigen, die sich auf Untersuchungen des FBI beziehen, sowie Zitate von SolarWinds selbst, zeigen irgendwelche Beweise daf\u00fcr, dass TeamCity irgendeine Schwachstelle oder Hintert\u00fcr hat, die einen nicht autorisierten Zugriff auf den Build-Prozess erm\u00f6glicht h\u00e4tte.<\/p>\n

Daher haben wir keine Erkenntnisse oder Beweise, die darauf hindeuten, dass eines unserer Tools kompromittiert wurde, und glauben daher nicht, dass Sie durch die weitere Verwendung unserer Tools einem Risiko ausgesetzt sind.<\/p>\n

Wir hoffen, dass die Untersuchung mit SolarWinds so schnell wie m\u00f6glich abgeschlossen wird und jegliche Falschdarstellung unserer Tools und unseres Unternehmens ausr\u00e4umt. Wir m\u00f6chten auch noch einmal betonen, dass wir unsere volle Kooperation mit allen Regierungsbeh\u00f6rden und Sicherheitsforschern anbieten.<\/p>\n

Seit \u00fcber 20 Jahren ist es eines unserer Ziele, transparent, ehrlich und wahrheitsgem\u00e4\u00df mit unseren Kunden umzugehen, und nichts trifft uns mehr, als unbegr\u00fcndete Anschuldigungen zu sehen, die unseren Ruf sch\u00e4digen und unsere Kunden in Zweifel ziehen.<\/p>\n

Wir wissen Ihre Unterst\u00fctzung sehr zu sch\u00e4tzen und werden Sie \u00fcber alle Fortschritte auf dem Laufenden halten.<\/p>\n

Danke.<\/p>\n

Maxim Shafirov
\nChief Executive Officer<\/p>\n","protected":false},"author":1132,"featured_media":0,"comment_status":"closed","ping_status":"closed","template":"","categories":[],"tags":[],"cross-post-tag":[],"acf":[],"_links":{"self":[{"href":"https:\/\/blog.jetbrains.com\/de\/wp-json\/wp\/v2\/blog\/107798"}],"collection":[{"href":"https:\/\/blog.jetbrains.com\/de\/wp-json\/wp\/v2\/blog"}],"about":[{"href":"https:\/\/blog.jetbrains.com\/de\/wp-json\/wp\/v2\/types\/blog"}],"author":[{"embeddable":true,"href":"https:\/\/blog.jetbrains.com\/de\/wp-json\/wp\/v2\/users\/1132"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.jetbrains.com\/de\/wp-json\/wp\/v2\/comments?post=107798"}],"version-history":[{"count":1,"href":"https:\/\/blog.jetbrains.com\/de\/wp-json\/wp\/v2\/blog\/107798\/revisions"}],"predecessor-version":[{"id":107799,"href":"https:\/\/blog.jetbrains.com\/de\/wp-json\/wp\/v2\/blog\/107798\/revisions\/107799"}],"wp:attachment":[{"href":"https:\/\/blog.jetbrains.com\/de\/wp-json\/wp\/v2\/media?parent=107798"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.jetbrains.com\/de\/wp-json\/wp\/v2\/categories?post=107798"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.jetbrains.com\/de\/wp-json\/wp\/v2\/tags?post=107798"},{"taxonomy":"cross-post-tag","embeddable":true,"href":"https:\/\/blog.jetbrains.com\/de\/wp-json\/wp\/v2\/cross-post-tag?post=107798"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}