Die chinesische Regierung wirft dem Cloud-Anbieter Alibaba aus einem Sicherheitsgremium, weil es die Log4j-Scherheitslücke nicht zeitnah an die Behörde gemeldet hat. Laut Medienberichten wurde dem Unternehmen die Mitgliedschaft in dem Sicherheitsgremium des Ministeriums für Industrie und Informationstechnik (MIIT) für sechs Monate entzogen.
Log4J: Alibaba meldete Lücke nicht sofort
Die chinesische Regierung ist sauer und straft die Alibaba Cloud für ihren lockeren Umgang mit der aktuell vorherrschenden Log4j-Sicherheitslücke ab. Dabei wird dem Anbieter der Platz im Sicherheitsgremium des Ministeriums für Industrie und Informationstechnik (MIIT) für einen Zeitraum von sechs Monaten entzogen.
Laut der Website ZDnet kritisiert die chinesische Regierung vor allem, dass eine Meldung an das Ministerium nicht rechtzeitig erfolgte. Demnach hatte Alibaba am 24. November 2021 zwar die Apache Software Foundation – die das Log4j-Tool betreut – informiert, nicht aber das MIIT. Dieses soll erst einige Tage später durch Dritte von der Sicherheitslücke erfahren haben.
Neues Gesetz zur Meldung von Sicherheitslücken
Laut eines Berichtes der Zeitung South China Morning Post tritt ein neues Gesetz in Kraft, das Unternehmen verpflichtet Sicherheitslücken an die chinesische Regierung zu melden. Dies müsse zudem innerhalb von 48 Stunden geschehen. Damit sollen Unternehmen ermuntert werden, potenzielle und akute Sicherheitslücken zuerst an die Regierung zu melden.
Allerdings besteht seitens der chinesischen Regierung nicht immer ein Interesse daran, die entsprechende Lücke schnellstmöglich zu schließen, da diese beispielsweise von Geheimdiensten genutzt werden kann.
Zwischen der Meldung einer Sicherheitslücke und der tatsächlichen Behebung durch Patches bleibt also noch immer ein Zeitfenster, in dem Geheimdienste diese weiter ausnutzen können. Dies wurde bereits bei der der Proxylogon-Sicherheitslücke in Microsofts E-Mail-Server-Software Exchange heftig kritisiert.
Seinerzeit wurden Sicherheitsfirmen und staatliche Stellen bereits vorab über die Sicherheitslücke informiert. Außerdem wird spekuliert, dass auch Geheimdienste wie die NSA an Vorabinformationen kamen. Die Sicherheitslücke wurde dann noch vor der Veröffentlichung eines Patches zur Schließung exzessiv genutzt.
Wegen der aktuellen Log4J-Sicherheitslücke hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktuell die höchste Warnstufe „4/Rot“ ausgesprochen.