USA: "Log4J-Sünder" können bestraft werden

5. Januar 2022 um 14:26
  • security
  • breach
  • regulierung
  • open source
image

Die US-Handelsbehörde FTC will Unternehmen, die sich nicht um die Log4J-Sicherheitslücke kümmern, hart anpacken. Auch ein strukturelles Problem der Open-Source-Szene will sie unter die Lupe nehmen.

In vielen Ländern weltweit gibt es Diskussion darüber, ob und wie stark Unternehmen und Behörden bestraft werden sollten, wenn sie im Bereich ICT-Security nachlässig handeln. In den USA scheinen die Behörden sich dazu entschlossen zu haben, eine härtere Linie als früher einzuschlagen. Anfang Oktober drohte die US-Regierung damit, ihre Zulieferer zu bestrafen, wenn sie bei der Security schlampen. Nun hat die US-Handelsbehörde FTC (Federal Trade Commission) eine scharfe Warnung an einheimische Unternehmen allgemein veröffentlicht: Die FTC werde Unternehmen, die sich nicht um die Behebung der Gefahr durch die "Log4Shell"-Sicherheitslücke in der Java-Library Log4J kümmern und dadurch Kundendaten gefährden, verfolgen und hart bestrafen.
Diese Sicherheitslücke wurde am 10. Dezember 2021 entdeckt und schlägt seither hohe Wellen. 
Die FTC beabsichtige, alle ihr zur Verfügung stehenden rechtlichen Mittel auszuschöpfen, um Unternehmen, die es versäumen, vernünftige Massnahmen zu ergreifen, um Kundendaten zu schützen, rechtlich zu verfolgen. Dies gelte sowohl für Daten-Kompromittierungen aufgrund der Log4Shell-Lücke als auch aufgrund anderer Sicherheitslücken, welche in Zukunft gefunden werden.
Als Beispiel dafür, wie hart die Strafen sein könnten, erwähnt die FTC die 700-Millionen-Dollar-Busse, die Equifax 2019 aufgebrummt bekam.

Strukturelles Problem der Open Source Supply Chain

Die FTC erwähnt in ihrer Mitteilung auch noch ein anderes, grundsätzliches Security-Problem, um das sie sich Gedanken machen will. Es geht um die Sicherheit in der Open-Source-Lieferkette. Die Verwundbarkeit in Log4J zeige weitere strukturelle Probleme auf, so die FTC. Log4J sei nur eines von tausenden von Open-Source-Projekten, über die selten jemand spricht, aber die sehr wichtig sind und von unzähligen Unternehmen verwendet werden. Diese Projekte würden oft von Freiwilligen gestartet und unterhalten, die aber nicht die adäquaten Ressourcen und genug Personal haben, um schnell auf Vorfälle zu reagieren oder um proaktiv Sicherheitsprobleme zu beheben. Trotzdem seien diese Projekte von grundlegender Wichtigkeit für die Internet-Wirtschaft.
Diese spezielle Situation wolle man berücksichtigen, so die FTC, während man Massnahmen erarbeitet, um die grundlegenden Probleme anzugehen, welche die Anwendersicherheit gefährden.

Loading

Mehr zum Thema

imageAbo

Neue Ransomware-Bande behauptet Angriff auf Plattform von Syngenta

Die Gruppe Shadowbyt3$ ist erst seit Februar aktiv, will aber neben dem Agrarkonzern weitere prominente Opfer wie Nintendo erfolgreich attackiert haben.

publiziert am 16.6.2026
imageAbo

Walliser BVZ richtet Security Operations Center ein

Das Security Operations Center für den Verkehrs- und Tourismusdienstleister mit der Matterhorn Gotthard Bahn baut Anomal auf.

publiziert am 16.6.2026
imageAbo

Bund soll KI-Einsatz bei Polizei prüfen

Der Ständerat hat ein Postulat zum Einsatz von Künstlicher Intelligenz bei Polizei, innerer Sicherheit und Strafverfolgung angenommen.

publiziert am 16.6.2026
image

Bundesrat will Lösegeldzahlung durch Ruag aufarbeiten

Politiker sind empört, dass der Rüstungskonzern Lösegeld an die Ransomware-Gruppe Akira bezahlt hat. Ihre Fragen beantwortete die Regierung alle gleich.

publiziert am 16.6.2026