News

Alibaba hätte Log4J-Lücke schneller an China melden müssen

Bild von Simon Lüthje Simon Lüthje24. Dezember 2021

Die chinesische Regierung wirft dem Cloud-Anbieter Alibaba aus einem Sicherheitsgremium, weil es die Log4j-Scherheitslücke nicht zeitnah an die Behörde gemeldet hat. Laut Medienberichten wurde dem Unternehmen die Mitgliedschaft in dem Sicherheitsgremium des Ministeriums für Industrie und Informationstechnik (MIIT) für sechs Monate entzogen.

Log4J: Alibaba meldete Lücke nicht sofort

Die chinesische Regierung ist sauer und straft die Alibaba Cloud für ihren lockeren Umgang mit der aktuell vorherrschenden Log4j-Sicherheitslücke ab. Dabei wird dem Anbieter der Platz im Sicherheitsgremium des Ministeriums für Industrie und Informationstechnik (MIIT) für einen Zeitraum von sechs Monaten entzogen.

Laut der Website ZDnet kritisiert die chinesische Regierung vor allem, dass eine Meldung an das Ministerium nicht rechtzeitig erfolgte. Demnach hatte Alibaba am 24. November 2021 zwar die Apache Software Foundation – die das Log4j-Tool betreut – informiert, nicht aber das MIIT. Dieses soll erst einige Tage später durch Dritte von der Sicherheitslücke erfahren haben.

Neues Gesetz zur Meldung von Sicherheitslücken

Laut eines Berichtes der Zeitung South China Morning Post tritt ein neues Gesetz in Kraft, das Unternehmen verpflichtet Sicherheitslücken an die chinesische Regierung zu melden. Dies müsse zudem innerhalb von 48 Stunden geschehen. Damit sollen Unternehmen ermuntert werden, potenzielle und akute Sicherheitslücken zuerst an die Regierung zu melden.

Allerdings besteht seitens der chinesischen Regierung nicht immer ein Interesse daran, die entsprechende Lücke schnellstmöglich zu schließen, da diese beispielsweise von Geheimdiensten genutzt werden kann.

Zwischen der Meldung einer Sicherheitslücke und der tatsächlichen Behebung durch Patches bleibt also noch immer ein Zeitfenster, in dem Geheimdienste diese weiter ausnutzen können. Dies wurde bereits bei der der Proxylogon-Sicherheitslücke in Microsofts E-Mail-Server-Software Exchange heftig kritisiert.

Seinerzeit wurden Sicherheitsfirmen und staatliche Stellen bereits vorab über die Sicherheitslücke informiert. Außerdem wird spekuliert, dass auch Geheimdienste wie die NSA an Vorabinformationen kamen. Die Sicherheitslücke wurde dann noch vor der Veröffentlichung eines Patches zur Schließung exzessiv genutzt.

Wegen der aktuellen Log4J-Sicherheitslücke hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktuell die höchste Warnstufe „4/Rot“ ausgesprochen.

Schlagwörter
Bild von Simon Lüthje Simon Lüthje24. Dezember 2021
Bild von Simon Lüthje

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Bad Segeberg.

Ähnliche Artikel

Microsoft Windows: Alte Sicherheitslücke wird aktiv ausgenutzt

14. Februar 2022
Cyberkriminialität

Lastpass Sicherheitslücke: Passwortmanager ermöglicht Angreifern Zugriff auf Nutzerdaten

1. Dezember 2022
amd

Sicherheitslücke: Offenbar Schwachstellen bei CPUs von AMD

15. Februar 2024

Mindestens 80.000 Hikivision-Kameras mit Sicherheitslücke

29. August 2022

No replies yet

Beginne die Diskussion →

Neue Antworten laden...

Avatar of Basic Tutorials
Basic Tutorials

Neues Mitglied

3,233 Beiträge 1,471 Likes
Angeheftet Dec 24, 2021

Die chinesische Regierung wirft dem Cloud-Anbieter Alibaba aus einem Sicherheitsgremium, weil es die Log4j-Scherheitslücke nicht zeitnah an die Behörde gemeldet hat. Laut Medienberichten wurde dem Unternehmen die Mitgliedschaft in dem Sicherheitsgremium des Ministeriums für Industrie und Informationstechnik (MIIT) für sechs Monate entzogen. Log4J: Alibaba meldete Lücke nicht sofort Die chinesische Regierung ist sauer und straft … (Weiterlesen...)

Antworten Like

Beteilige dich an der Diskussion in der Basic Tutorials Community →

© Copyright 2024, All Rights Reserved, *Affiliate-Link
Schaltfläche "Zurück zum Anfang"