Seit einiger Zeit sind die CIOs weltweit mit der Behebung der Log4j2-Schwachstelle beschäftigt. Aus technischer Sicht gibt es Lösungen wie Patches und System-Upgrades. Das Schwachstellenmanagement ist in China aber nicht nur ein technisches Problem, es gibt auch rechtliche Anforderungen, die Unternehmen erfüllen müssen.
So sind Diensteanbieter gesetzlich verpflichtet, den zuständigen Behörden Meldung zu erstatten, Abhilfemaßnahmen zu ergreifen und die Nutzer zu informieren, wenn Schwachstellen gefunden wurden oder ein sicherheitsrelevanter Vorfall eingetreten ist. Andererseits sind die Netzbetreiber verpflichtet, Notfallpläne für Sicherheitsvorfälle im Netz bereitzuhalten und rechtzeitig auf Systemschwachstellen, Computerviren, Netzangriffe, Netzeinbrüche und andere Sicherheitsrisiken zu reagieren. Im Falle eines schwerwiegenden Vorfalls müssen die Netzbetreiber den zuständigen Behörden Bericht erstatten. Wenn sie die Vorschriften nicht einhalten werden die Unternehmen aufgefordert, Abhilfemaßnahmen zu ergreifen. Je nach Schweregrad können auch Geldstrafen verhängt werden – dazu kommt die Schädigung des Rufs.
Am 24. November 2021 fand ein Software-Ingenieur von Alibaba einen Fehler im Log4j-Framework. Gemäß der bewährten Praxis informierte er die Apache-Open-Source-Gemeinschaft über diesen Fund. Nach einer Analyse gab Apache bekannt, dass es sich um eine Sicherheitslücke handelt, und es wurden Patches veröffentlicht. Das hat weltweite Auswirkungen, da fast alle Unternehmen und Organisationen Log4j in ihren eigenen Java-basierten Geschäftssystemen einsetzen. Alibaba wurde vom chinesischen Ministerium für Industrie und Informationstechnologie (MIIT) jedoch bestraft, weil das Unternehmen den Behörden nicht rechtzeitig Bericht erstattet hatte.
Im Januar wurde auch Walmart in China von der Behörde bestraft, weil in Walmarts Netzwerk 19 Sicherheitslücken entdeckt wurden, die mangels eines angemessenen Schwachstellenmanagementprozesses nicht behoben wurden. Walmart wurde angewiesen, die Sicherheitsschwachstellen unverzüglich zu beheben.
Alibaba als Anbieter von Netzwerkprodukten hat dem MIIT während des Log4j2-Vorfalls nicht rechtzeitig Bericht erstattet und das MIIT nicht wirksam bei der Verwaltung von Netzwerksicherheitsbedrohungen und Schwachstellen unterstützt. Walmart hingegen hat als Netzwerkbetreiber das Schwachstellenmanagement nicht standardisiert und der Netzwerksicherheit nicht genügend Aufmerksamkeit geschenkt.
Unternehmen sollten ihre Notfallpläne und ihr Schwachstellenmanagement in China nicht nur aus technischer Sicht, sondern auch aus rechtlicher Sicht überprüfen, um Verstöße, Strafen und Reputationsschäden zu vermeiden.
China Intellectual Property Blog 