Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


14.12.2021

IT-Bedrohungslage – Warnung des BSI: Schwachstelle „Log4Shell“

Nach Information des Bundesamts für Sicherheit in der Informationstechnik (BSI) führt eine kritische Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j zu einer extrem kritischen Bedrohungslage. Die entsprechende BSI-Cyber-Sicherheitswarnung mit Informationen und Maßnahmen zum Umgang mit den Schwachstellen finden Sie hier.

Die Sicherheitslücke (CVE-2021-44228) mit dem Namen "Log4Shell" führt laut BSI eventuell zur Verwundbarkeit von global mehreren Milliarden Computern. Die betroffene "Log4j"-Bibliothek für Java-Anwendungen wird zur Umsetzung einer bestimmten Funktionalität in Produkte eingebunden und von vielen Systemadministratoren und Programmierern auf der ganzen Welt in Systeme integriert. Sie stellt beispielsweise Funktionalitäten zur Protokollierung von Programmaktivitäten zur Verfügung. Diese Protokolle dienen oft der Fehlersuche und sind deshalb in Software üblich.

Laut BSI ist das Ausmaß der Bedrohungslage aktuell nicht abschließend feststellbar. Aktuell sei davon auszugehen, dass "Log4j" in den Versionen 1.x bis 2.14.1 verwundbar ist. Die Schwachstelle wurde mit dem höchstmöglichen CVSS-Score von 10,0 bewertet. Zusätzlich wurde eine Schwachstelle (CVE-2021-45046) in der Version 2.15 mit dem CVSS-Score 9,0/10 identifiziert, die in der Version 2.16.0 behoben wurde.

Das BSI geht davon aus, dass die größte Gefahr für Betreiber von Servern und Rechenzentren besteht. Allerdings seien nicht nur große Rechenzentren und Unternehmensserver betroffen, da auch kleinere und mittelständische Firmen oder Verbraucher Netzwerktechnologien und Systemkomponenten mit "Log4j" einsetzen. Überdies können Verbraucher Schaden erleiden, wenn ihre Daten gestohlen werden, wichtige Dienste ausfallen oder ihre Systeme infiziert werden.

Daher rät das BSI, etwaige Updates, die Hersteller bzw. Anbieter von IT, Betriebssystemen oder Programmen zur Verfügung stellen, umgehend zu installieren. Darüber hinaus sollten alle Systeme auf eine Kompromittierung untersucht werden, die verwundbar waren. Für Administratoren empfiehlt das BSI weitere Maßnahmen, die Sie hier direkt abrufen können.

Hintergrund

Das BSI ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Sie hat sich nach eigenen Worten zu einem ressortübergreifenden Kompetenzzentrum für Fragen der Informationssicherheit entwickelt, dessen fachliche Expertise national und international anerkannt ist.

Fazit

Die Hinweise und Handlungsempfehlungen des BSI sind nicht nur aus dem Blickwinkel der Informationssicherheit, sondern auch des Datenschutzes relevant. Die entsprechenden Vorgaben für die Sicherheit der Verarbeitung finden sich unter anderem in Art. 32 DSGVO. Darüber hinaus können die vom BSI als kritisch bewerteten Schwachstellen auch eine Meldepflichtrelevanz gem. Art. 33 und 34 DSGVO haben.

Sollten Sie Fragen zur technischen und organisatorischen Maßnahmen nach der DSGVO, zur Meldepflicht oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht