BayL­DA: Check­li­ste zu daten­schutz­recht­li­chem Hand­lungs­be­darf bei der Java-Sicher­heits­lücke „Log4Shell“

Pres­se­mit­tei­lung des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht vom 14.12.2021

Die Java-Pro­to­kol­lie­rungs­bi­blio­thek „Log4j“ ist weit ver­brei­tet. Sie ist Bestand­teil vie­ler kom­mer­zi­el­ler Pro­duk­te genau­so wie von Open-Source-Soft­ware, aber auch selbst ent­wickel­ter Java-Anwen­dun­gen. Durch die kürz­lich auf­ge­deck­te Schwach­stel­le „Log4Shell“ (CVE-2021 – 44228) kön­nen Angrei­fer über das Inter­net eige­ne Pro­gramm­codes aus­füh­ren und damit einen Brücken­kopf für wei­te­re Cyber­at­tacken instal­lie­ren. Dadurch droht auch län­ger­fri­stig die Kom­pro­mit­tie­rung vie­ler Dien­ste und viel­fach sogar Ein­schrän­kun­gen des Regel­be­triebs wich­ti­ger Systeme.

Micha­el Will, Prä­si­dent des BayL­DA, bewer­tet die Lage aus Daten­schutz­sicht als alar­mie­rend: „Das Bedro­hungs­po­ten­ti­al der Schwach­stel­le Log4Shell kann kaum ernst genug genom­men wer­den. Ver­ant­wort­li­che müs­sen nun umge­hend aktiv wer­den, um die eige­nen Syste­me zu prü­fen und die Schwach­stel­le zu besei­ti­gen. Bereits in der jün­ge­ren Ver­gan­gen­heit haben Cyber­an­grif­fe über ande­re Sicher­heits­lücken zu enor­men Schä­den geführt. Log4Shell hat das Poten­ti­al, die­se Risi­ken zu über­tref­fen und bran­chen­über­grei­fend zahl­rei­che Betrie­be in ihrem Arbeits­all­tag mas­siv zu stö­ren. Wir beob­ach­ten die Ent­wick­lung daher inten­siv und mit größ­ter Sor­ge. Unser erstes Augen­merk gilt wirk­sa­men Abhil­fe­maß­nah­men, für die wir eine Check­li­ste bereit­stel­len. Unse­re Erfah­run­gen mit der Nach­läs­sig­keit zahl­rei­cher Ver­ant­wort­li­cher trotz schwer­wie­gen­der Cyber­ge­fah­ren – zuletzt etwa der Schwach­stel­le bei Exchan­ge-Ser­vern im Früh­jahr die­sen Jah­res – zei­gen aber auch, dass Nach­kon­trol­len zur Gewähr­lei­stung des Daten­schut­zes uner­läss­lich sind. Daher prü­fen wir bereits, wie baye­ri­sche Ver­ant­wort­li­che einer auto­ma­ti­sier­ten Daten­schutz­kon­trol­le unter­zo­gen wer­den kön­nen, die Ver­säum­nis­se bei der Java-Sicher­heits­lücke auf­decken wird. Ver­stö­ße gegen die Sicher­heits­an­for­de­run­gen der Daten­schutz-Grund­ver­ord­nung kön­nen von uns mit emp­find­li­chen Geld­bu­ßen geahn­det werden.“

Wel­ches Aus­maß die Java-Sicher­heits­lücke Log4Shell für baye­ri­sche Unter­neh­men, Ver­ei­ne und Ver­bän­de, Ärz­te, Rechts­an­wäl­te etc. haben wird, ist trotz all­sei­ti­ger Auf­klä­rungs­be­mü­hun­gen längst noch nicht abseh­bar. Jedoch ist bereits zum jet­zi­gen Zeit­punkt bekannt, dass flä­chen­decken­de Scans nach ver­wund­ba­ren Syste­men statt­fin­den und auch schon gezielt Angrif­fe durch­ge­führt wer­den. Es ist somit nur noch eine Fra­ge der Zeit, wann Ver­ant­wort­li­che, die von der Lücke betrof­fen sind, einen Scha­den fest­stel­len. Nicht nur wirt­schaft­lich, son­dern auch daten­schutz­recht­lich ist ein sol­ches Sze­na­rio mit schwer­wie­gen­den Kon­se­quen­zen ver­bun­den. Letzt­end­lich dro­hen Ver­ant­wort­li­chen ins­be­son­de­re ein Abfluss per­so­nen­be­zo­ge­ner Daten, eine Nicht-Ver­füg­bar­keit wich­ti­ger Syste­me und Dien­ste oder eine Ein­rich­tung von Back­doors für spä­te­re Cyber­at­tacken. Selbst Angrif­fe mit Ran­som­wa­re zur Erpres­sung der betrof­fe­nen Betrie­be sind wahr­schein­lich. Ver­brau­che­rin­nen und Ver­brau­cher sind im Nor­mal­fall zwar nicht direkt von der Schwach­stel­le betrof­fen, könn­ten aber Aus­wir­kun­gen spü­ren, etwa wenn Dien­ste wie Apps oder Web­ser­vices nicht mehr erreich­bar sind oder eige­ne per­sön­li­che Daten durch Angrif­fe gestoh­len werden.

Baye­ri­sche Ver­ant­wort­li­che müs­sen auf­grund der erhöh­ten Gefähr­dungs­la­ge zur Ein­hal­tung daten­schutz­recht­li­cher Ver­pflich­tun­gen unver­züg­lich prü­fen, ob deren IT-Syste­me und Anwen­dun­gen von der Java-Sicher­heits­lücke Log4Shell betrof­fen sind. Hier­zu steht unter www​.lda​.bay​ern​.de/​l​o​g​4​s​h​ell eine Check­li­ste zur Ver­fü­gung. Ist bereits eine Sicher­heits­ver­let­zung ein­ge­tre­ten, z. B. weil die Sicher­heits­lücke aktiv aus­ge­nutzt wur­de und IT-Syste­me mit per­so­nen­be­zo­ge­nen Daten betrof­fen sind, besteht nach Art. 33 DS-GVO für Ver­ant­wort­li­che regel­mä­ßig eine Mel­de­ver­pflich­tung bei der zustän­di­gen Datenschutzaufsichtsbehörde.