Seit einigen Tagen sind viele Unternehmen, Behörden und auch Privatpersonen in heller Aufregung. Aktuell ist eine Sicherheitslücke namens „Log4Shell“ bekannt, welche eventuell Milliarden Computersysteme weltweit akut gefährden könnte. Wir stellen Ihnen das Problem vor und sagen Ihnen, was Sie im Bereich Datenschutz tun müssen.
Was ist Log4Shell?
Log4Shell ist der Name der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) unter der Nummer CVE-2021-44228 veröffentlichten kritischen Schwachstelle in der Log4j Protokollierungsbibliothek für Java-Anwendungen. Das BSI hat am 10.12.2021 vor der Log4j Schwachstelle gewarnt (vgl. https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Schwachstelle_Log4j_211210.html) und unter https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf;jsessionid=3C50F883BFF514E43FD34EF00F02D36F.internet081?__blob=publicationFile&v=8 eine umfangreiche Sicherheitswarnung veröffentlicht.
Was ist Log4j?
Log4j ist eine sogenannte Protokollierungsbibliothek für Java-Anwendungen. Im Wesentlichen dient Log4j dazu, Fehlerbenachrichtigungen einer Java-Anwendung zu protokollieren. Log4j ist eine Open-Source Anwendung, die sehr leistungsfähig und gut einzubinden ist. Aus diesem Grund ist Log4j weltweit verbreitet und zum Teil tief in Computersystemen verankert.
Wer setzt Log4j ein?
Log4j wird aufgrund seiner einfachen Handhabung und hohen Geschwindigkeit in Rechenzentren und Unternehmensservern, aber auch bei kleinen und mittelständischen Unternehmen eingesetzt. Es ist allerdings auch davon auszugehen, dass Anwendungen mit Log4j Komponenten bei Endanwendern eingesetzt werden.
Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla und Twitter setzen beispielsweise Log4j-Bibliotheken ein.
Was ist an Log4Shell so gefährlich?
Um die Sicherheitslücke auszunutzen, sind offenbar nur Anfängerkenntnisse erforderlich. Es genügt, wenn ein Angreifer auf dem gefährdeten Computersystem eine bestimmte Befehlssequenz eingibt. Durch diese Befehlssequenz wäre der Angreifer bereits in der Lage, das Computersystem vollständig zu kontrollieren und sich Zugang zu weiteren Bereichen des Computersystems zu verschaffen. Alternativ oder zusätzlich könnte der Angreifer weiteren Schadcode nachladen, um z.B. Hintertüren zu installieren.
Wird Log4Shell bereits ausgenutzt?
Nach Informationen des BSI und vieler IT-Sicherheitsunternehmen wird Log4Shell bereits aktiv und massiv ausgenutzt.
Nach ersten Berichten sollen Angreifer befallene Computersysteme zum Kryptomining verwenden. Beim Kryptomining wir die Rechenleistung eines Computersystems verwendet, um Kryptowährungen zu schürfen. Das Schürfen von Kryptowährungen ist besonders rechenintensiv.
Ferner wird befürchtet, dass perfide Angreifer zunächst eine oder mehrere Hintertüren unbemerkt installieren und sodann abwarten. Selbst wenn die Sicherheitslücke Log4Shell geschlossen ist, könnten die Hintertüren weiterhin funktionieren. Auf diese Weise könnten Angreifer noch in Wochen oder Monaten Daten von den befallenen Computersystemen abziehen.
Von den deutschen Aufsichtsbehörden hat per 14.12.2021 lediglich der Hessische Beauftragte für Datenschutz und Informationsfreiheit eine Stellungnahme zu Log4Shell unter https://datenschutz.hessen.de/pressemitteilungen/unmittelbarer-handlungsbedarf-wegen-schwachstelle-in-java-bibliothek-log4j veröffentlicht. Ein konkreter Hinweis, wann von einem meldepflichtigen Verstoß auszugehen ist, fehlt jedoch.
Was müssen Sie jetzt tun?
- Sie müssen so schnell wie möglich prüfen oder prüfen lassen, ob Ihr Computersystem von Log4Shell betroffen ist. Falls ja, müssen Sie die Sicherheitslücke unverzüglich schließen, um Schaden von Ihrem Computersystem abzuwenden. Bedenken Sie, dass die Meldung des BSI bereits vom 10.12.2021 stammt.
- Sollte Ihr Computersystem von Log4Shell betroffen sein, müssen Sie ferner unverzüglich prüfen oder prüfen lassen, ob ein Angreifer bereits Ihr Computersystem manipuliert hat, sei es durch das Eingeben von Steuerbefehlen oder durch das Nachladen von weiterem Schadcode. Alle Eingaben und Installationen sollten Sie genau prüfen und dann rückgängig machen und/oder löschen. Vergessen Sie nicht, Ihre Aktivitäten genau zu dokumentieren!
- Sofern Sie mit Ihrem Computersystem auch personenbezogene Daten verarbeiten, müssen Sie ebenfalls unverzüglich prüfen, ob und ggf. in welchem Umfang personenbezogene Daten abgeflossen und/oder manipuliert wurden. Falls Sie dies festgestellt haben, müssen Sie nach Artikel 33 Datenschutz-Grundverordnung (DSGVO) der Aufsichtsbehörde ggfs. diese Verletzungen des Schutzes personenbezogener Daten melden. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme eingehen.
- Schalten Sie in die technische und rechtliche Überprüfung unbedingt Spezialisten sein. Allein das Bußgeld bei Überschreiten der 72 Stunden-Frist kann erheblich sein und je nach Schwere der betroffenen personenbezogenen Daten auch existenzgefährdend.
Wir stehen Ihnen im gesamten Bereich des IT-/IP- und Datenschutzrechts aufgrund unserer langjährigen Erfahrung als Berater gerne zur Verfügung. Sollten Sie ein “Log4 Shell-Problem” in ihrem Unternehmen haben, sprechen Sie uns umgehend an.
GoldbergUllrich Rechtsanwälte 2021
Julius Oberste-Dommes LL.M. (Informationsrecht)
Rechtsanwalt und
Fachanwalt für Informationstechnologierecht
