Unmittelbarer Handlungsbedarf wegen Schwachstelle in Java-Bibliothek Log4j

Die in unzähligen JAVA-Anwendungen verwendete Softwarebibliothek Log4j ist von einer kritischen Schwachstelle betroffen. IT-Systeme und -Dienste welche die Softwarebibliothek verwenden, werden bereits aktiv über das Internet ausgenutzt. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) informiert über den dringenden Handlungsbedarf.

Fotolia_103397196_S.jpg

 Bild Geschichte des Datenschutzes

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) informiert über den akuten Handlungsbedarf bezüglich der Schwachstelle in der Java-Bibliothek Log4j (Log4j).

Aufgrund Cyber-Sicherheitswarnung der Warnstufe Rot des Bundesamtes für Sicherheit in der Informationstechnik (BSI) informiert der HBDI seinerseits wegen der großen Tragweite und Kritikalität über die Schwachstelle in Log4j (CVE-2021-44228). Die IT-Bedrohungslage ist deswegen besonders hoch, weil eine hohe Zahl von IT-Systemen betroffen sind und weil sich die Schwachstelle Log4Shell über das Internet mit geringem technischen Aufwand ausnutzen lässt. Nach den am Wochenende durch das BSI beobachteten weltweiten Massenscans liegen mittlerweile auch Informationen über erfolgreiche Kompromittierungen vor. Es ist zu erwarten, dass Aktivitäten von Angreifern unter Ausnutzung der Schwachstelle in den nächsten Tagen deutlich zunehmen werden und das Risiko einer Kompromittierung sehr hoch ist.

Das bedeutet, dass die verantwortlichen Stellen von einer realen, unmittelbaren und erheblichen Gefährdung betroffener Systeme und Dienste ausgehen müssen, so dass dringender Handlungsbedarf besteht. Aufgrund der hohen Anzahl der bisher bekannten, betroffenen Softwareprodukte, IT-Systeme und -Dienste, besteht ein akutes Risiko der Verletzung des Schutzes der mittels dieser verarbeiteten, personenbezogenen Daten.

Beim Vorliegen der Schwachstelle in Log4j ist die Sicherheit der Verarbeitung gemäß Art. 32 DS-GVO für die betroffenen Systeme und ggf. darüber hinaus nicht mehr in vollem Umfang gewährleistet. Es liegt in der Verantwortung der Verantwortlichen die Sicherheit der Verarbeitung wiederherzustellen. Demensprechend empfiehlt der HBDI dringend, dass

  • Verantwortliche sich über die Schwachstelle informieren, betroffene IT- Systeme und -Dienste identifizieren und die erforderlichen Maßnahmen ergreifen,
  • Auftragsverarbeiter von sich aus aktiv werden, angemessene Maßnahmen ergreifen sowie auf betroffene Verantwortliche zugehen,
  • Hersteller ihre Produkte auf das Vorhandensein der Schwachstelle prüfen, aktiv betroffene Kunden informieren, Handlungsempfehlungen erarbeiten und zur Verfügung stellen sowie Updates, Patches oder vergleichbares zur Behebung der Schwachstelle entwickeln und bereitstellen.

Das Schließen der Schwachstelle ist hierbei nicht ausreichend. Die Verantwortlichen müssen zusätzlich überprüfen, ob es bereits zu erfolgreichen Angriffen gekommen ist. In diesem Fall sind entsprechen weiterführende Maßnahmen zu ergreifen und zu prüfen ob eine Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DS-GVO beim HBDI erfolgen muss.

Bei Log4j handelt es sich um eine Hilfskomponente, die weltweit in vielen Java-Anwendungen verwendet wird. Sie dient den betroffenen Anwendungen zur Ereignisprotokollierung (Logging). Verwendet wird Log4j nicht nur in eigenverantwortlich entwickelten und betriebenen Unternehmensanwendungen, sondern ist integraler Bestandteil einer Vielzahl von Software-Produkten und IT-Geräten unterschiedlicher Hersteller und Dienstleister. Aufgrund des Anwendungszwecks von Logging kann Log4j auch als nicht unmittelbar erkennbare Sub-Komponente zum Einsatz kommen.

Aktuelle Informationen und Handlungsempfehlungen zu der Log4j-Schwachstelle finden Sie in der Cybersicherheitswarnung des BSI.

Kontakt für Pressevertreter
Pressesprecherin: Fr. Maria Christina Rost
Presse- und Öffentlichkeitsarbeit:
Telefon: +49 611 1408 119

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden