Eine Klage gegen das Unternehmen Equifax nennt die FTC als Beispiel, um zu zeigen, wie viel Geld auf dem Spiel steht, wenn man bestehende Sicherheitslücken nicht schließt. 700 Millionen Dollar musste das Unternehmen zahlen, um diverse Klagen abzuschmettern. Der Kurs fiel ins Bodenlose, die Firma schmiss Management und IT-Kräfte raus. Die FTC droht nun mit Bezug auf Log4j: „Die FTC beabsichtigt, ihre rechtlichen Befugnisse voll auszuschöpfen.“
Angemessene Schutzmaßnahmen notwendig
Die gesetzliche Grundlage dazu steht im Federal Trade Commission Act und dem Gramm Leach Bliley Act. Aus diesen Gesetzen ergibt sich die Pflicht, „angemessene Maßnahmen zur Behebung bekannter Software-Schwachstellen zu ergreifen“. Durch das Ausnutzen von Sicherheitslücken drohen der Verlust oder die Verletzung persönlicher Daten, finanzielle Verluste oder andere „irreversible Schäden“, schreibt die Behörde. Die Unternehmen und ihre Anbieter müssten nun handeln, um das zu vermeiden – und rechtliches Einschreiten der Handelsaufsicht zu verhindern. Dazu stellt die FTC Tools sowie Dokumente bereit, mit denen man feststellen kann, ob man die Log4j-Softwaredatenbank verwendet und wie man diese aktualisiert und absichert. Zuletzt rät die Behörde eindringlich: „Sorgen Sie dafür, dass Abhilfemaßnahmen ergriffen werden, um sicherzustellen, dass die Praktiken Ihres Unternehmens nicht gegen das Gesetz verstoßen!“
Log4j: Kriminelle scannen bereits nach Einfallstoren
Neben der Gefahr, wertvolle (Kunden-)Daten zu verlieren, besteht zusätzlich jene, dass sich Kriminelle Zugang verschaffen. Es folgt häufig eine Erpressung nach dem Ransomware-Prinzip: Wer an seine Daten will, muss zahlen. Dazu werden häufig Verschlüsselungsalgorithmen verwendet, deren Schlüssel die Gauner gegen Lösegeld feilbieten. Zuletzt verkündete das BSI, das Potenzial der Schwachstelle werde zunehmend ausgereizt. Prominenter Fall in Deutschland war der Bundesfinanzhof, der nach einem Angriff seine Webseite vom Netz nahm.