In vielen Ländern weltweit gibt es Diskussion darüber, ob und wie stark Unternehmen und Behörden bestraft werden sollten, wenn sie im Bereich ICT-Security nachlässig handeln. In den USA scheinen die Behörden sich dazu entschlossen zu haben, eine härtere Linie als früher einzuschlagen. Anfang Oktober drohte die US-Regierung damit, ihre
Zulieferer zu bestrafen, wenn sie bei der Security schlampen. Nun hat die US-Handelsbehörde FTC (Federal Trade Commission)
eine scharfe Warnung an einheimische Unternehmen allgemein veröffentlicht: Die FTC werde Unternehmen, die sich nicht um die Behebung der Gefahr durch die "Log4Shell"-Sicherheitslücke in der Java-Library Log4J kümmern und dadurch Kundendaten gefährden, verfolgen und hart bestrafen.
Die FTC beabsichtige, alle ihr zur Verfügung stehenden rechtlichen Mittel auszuschöpfen, um Unternehmen, die es versäumen, vernünftige Massnahmen zu ergreifen, um Kundendaten zu schützen, rechtlich zu verfolgen. Dies gelte sowohl für Daten-Kompromittierungen aufgrund der Log4Shell-Lücke als auch aufgrund anderer Sicherheitslücken, welche in Zukunft gefunden werden.
Strukturelles Problem der Open Source Supply Chain
Die FTC erwähnt in ihrer Mitteilung auch noch ein anderes, grundsätzliches Security-Problem, um das sie sich Gedanken machen will. Es geht um die Sicherheit in der Open-Source-Lieferkette. Die Verwundbarkeit in Log4J zeige weitere strukturelle Probleme auf, so die FTC. Log4J sei nur eines von tausenden von Open-Source-Projekten, über die selten jemand spricht, aber die sehr wichtig sind und von unzähligen Unternehmen verwendet werden. Diese Projekte würden oft von Freiwilligen gestartet und unterhalten, die aber nicht die adäquaten Ressourcen und genug Personal haben, um schnell auf Vorfälle zu reagieren oder um proaktiv Sicherheitsprobleme zu beheben. Trotzdem seien diese Projekte von grundlegender Wichtigkeit für die Internet-Wirtschaft.
Diese spezielle Situation wolle man berücksichtigen, so die FTC, während man Massnahmen erarbeitet, um die grundlegenden Probleme anzugehen, welche die Anwendersicherheit gefährden.