Abacus hat uns informiert, dass die aktuellen Abacus-Installationen ein potenzielles Sicherheitsproblem enthalten. Ein böswilliger Benutzer, welcher ein Login für das ULC hat (Abacus-Hauptmenü – nicht MyAbacus) und über umfassende Expertise in IT-Sicherheit und Angriffstechniken verfügt, könnte einen Angriff starten, bei welchem er Programme starten könnte, auf welche er eigentlich keinen Zugriff hat. Dadurch könnte von einem Abacus-Benutzer die Vertraulichkeit im System gefährdet werden, indem er etwa auf Fibu-Daten oder Lohndaten einen Angriff macht und auf diese trotz fehlender Rechte zugreifen kann.
Reine MyAbacus-Benutzer oder externe Angreifer ohne Login können die Sicherheitslücke nicht ausnützen.
Abacus stellt für die Versionen 2022, 2023 und 2024 entsprechende Patches zur Verfügung, welche das Problem beheben. Wir bitten Sie daher, sich mit Ihrem Betreuungsteam in Verbindung zu setzen, um das weitere Vorgehen zu besprechen.
Aus Sicherheitsgründen veröffentlicht Abacus keine weiteren Informationen zu dem konkreten Angriffsvorgehen und kommuniziert nicht, wie der Angriff genau vorgenommen werden müsste. Abacus schätzt aber die Komplexität des Angriffs bzw. des benötigten technischen Wissensstandes als hoch ein.
Wir bedauern die Unannehmlichkeiten, welche mit diesem Problem entstehen und sind dennoch froh, dass Abacus eine positive Sicherheitskultur lebt und die Software im Interesse aller Anwender regelmässig prüfen lässt.
Bei Fragen steht Ihnen Ihr Betreuungsteam und unser Customer Service gerne zur Verfügung.
