Log4J und Datenschutz

ja – was denn nun? Log4J ist doch eine technische Schwachstelle? Was hat der Datenschutz damit zu tun?

Na ja – der Datenschutz kann dir große Probleme (die kosten Geld) machen, wenn es wegen dieser Schwachstelle zu einem Verstoß gegen den Datenschutz kommt.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) informiert über den akuten Handlungsbedarf bezüglich der Schwachstelle in der Java-Bibliothek (Quelle: HBDI).

Er sieht nicht nur einen dringenden Handlungsbedarf, sondern fordert darüber hinaus:

Das Schließen der Schwachstelle ist hierbei nicht ausreichend. Die Verantwortlichen müssen zusätzlich überprüfen, ob es bereits zu erfolgreichen Angriffen gekommen ist. In diesem Fall sind entsprechen weiterführende Maßnahmen zu ergreifen und zu prüfen ob eine Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DS-GVO beim HBDI erfolgen muss.

Na gut – aus seiner Sicht hat er ja durchaus Recht. Aber hat er auch darüber nachgedacht, wie das in der Praxis aussehen soll?

Zunächst einmal müssen wir in der Lage sein, die Geräte zu identifizieren, in denen dieses Risiko vorhanden ist.

Schon das kann reichlich Arbeit bedeuten, weil man im Grunde jedes Gerät einer entsprechenden Prüfung unterziehen muss.

Bisher kenne ich nur die Variante (dort wo man keinen Zugriff auf den Quellcode, also das eigentliche Programm hat) das Gerät über einen simulierten Angriff zu einer entsprechenden Reaktion zu bringen.

Das können aber sicher nur Menschen, die über ausreichendes, technisches Wissen verfügen.

–> Du musst wahrscheinlich jemanden beauftragen und bezahlen, damit das gemacht wird.

Dann haben wir also die Geräte identifiziert und mit etwas Glück gibt es dafür auch eine Möglichkeit, die Schwachstelle zu schliessen.

Wenn nicht, müsste das Gerät ersetzt oder abgeschaltet werden, weil es ein permanentes Risiko in sich trägt.

–> Du brauchst wahrscheinlich auch dabei Unterstützung.

Aber jetzt wird es richtig schwierig. Wie will ich prüfen, ob es bereits zu erfolgreichen Angriffen gekommen ist?

Und sollte ich diese Frage beantworten können – wie will ich feststellen, ob personenbezogene Daten abgegriffen wurden?

Hier zeigt sich ein grundsätzliches Problem, weil viele kleinere Unternehmen überhaupt keine Infrastruktur und kein Personal haben, um so weit in die Tiefe zu gehen.

Oder hast du bei dir ein SIEM

Security Information and Event Management kombiniert die zwei Konzepte Security Information Management und Security Event Management für die Echtzeitanalyse von Sicherheitsalarmen aus den Quellen Anwendungen und Netzwerkkomponenten. (Quelle: wikipedia)

im Einsatz?

Wohl eher nicht. Und dann müsste man ja auch den Zeitpunkt eines Angriffes erkennen können, was ohne Protokolle auch eher schwierig ist.

Somit bleiben also nur die Situationen übrig, bei denen man einen Angriff bemerkt und vielleicht zeitgleich auch prüfen kann, was geschieht.

Das wird nicht so häufig geschehen.

Informationssicherheit bekommt durch derartige Fälle eine ganz andere Tragweite.

Bald wird man sich auch nicht mehr gegen Cyberangriffe versichern können, ohne ausreichend „Technisch Organisatorische Maßnahmen“ vorzuweisen.

Das erhöht den Druck auf die KMU’s, die „kleinen und mittelständischen Unternehmen“, bei denen EDV bisher irgendwie funktioniert hat.

Und welche Lösung kann ich dir dafür anbieten?

  1. Informationssicherheit muss zur Chefsache erklärt werden. Es geht nicht anders – du musst Verantwortung dafür übernehmen.

  2. Beschäftige dich entweder mit der ISO 27001 oder dem bsi Grundschutzkatalog. Beide geben dir viele Hinweise darauf, wie du dein Unternehmen „sicher“ aufstellen kannst.

  3. Es ist nicht zwingend notwendig, den Aufwand einer Zertifizierung zu betreiben. Der Stempel ist schön und gut, aber setzt dich unnötig unter Druck.Man kann das alles auch Leben ohne ein Zertifikat.

  4. Nutze das „Sandschauflerprinzip„. Auch wenn der Berg riesig ist – nimm deine Schaufel und fange einfach damit an.

Die Angreifer werden nicht müde werden und immer ausgefeiltere Techniken einsetzen.

Als Unternehmens-/Geschäftsführung trägst du für alles die Verantwortung.

So, wie die Zeichen aktuell zu sehen sind, kommt der Zeitpunkt, an dem du erfolgreich angegriffen wurdest.

Bereite dich schon heute darauf vor…