Sicherheitslücke Log4Shell in der Java-Bibliothek Log4j: Pflichten von Unternehmen zum Handeln

In der weit verbreiteten Java-Bibliothek Log4j wurde eine vom Bundesamt für Sicherheit in der Informationstechnik („BSI“) als extrem kritisch eingestufte Sicherheitslücke entdeckt, die nun den Namen Log4Shell trägt. Technische Hintergründe sowie mögliche Maßnahmen werden fortlaufend aktualisiert und vom BSI bereitgehalten.

Der Fokus (potentiell) betroffener Unternehmen wird derzeit darauf liegen, schnellstmöglich relevante Systeme und Komponenten identifizieren und angemessene Maßnahmen zu treffen. Dazu sind Unternehmen regelmäßig auch gesetzlich verpflichtet (hierzu etwa Art. 32 DS-GVO, § 8a Abs. 1 und § 8c Abs. 1 BSIG, § 19 Abs. 4 TTDSG sowie § 165 TKG [n. F.]).

Weiterhin kommen vertragliche Ansprüche in Betracht, etwa Ansprüche gegen Lieferanten und Hersteller von Software auf Patches aus Gewährleistung oder Softwarepflegeverträgen.

Sollte sich bei Unternehmen im Zuge der technischen Aufarbeitung zeigen, dass Angreifer die Sicherheitslücke Log4Shell tatsächlich erfolgreich ausnutzen konnten, kommen auch insbesondere folgende Meldepflichten in Betracht:

• Verantwortliche und Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung („DS-GVO“): Mit Sicherheitslücken einhergehende Datenschutzverletzungen können unverzügliche Meldungen an Datenschutz-Aufsichtsbehörden, und betroffene Personen erforderlich machen (Art. 33 und 34 DS-GVO). Auftragsverarbeiter haben Datenschutzverletzungen an den Verantwortlichen zu melden.
  
  
• Betreiber Kritischer Infrastruktur: Betreiber Kritischer Infrastrukturen müssen das BSI in den § 8b Abs. 4 BSI-Gesetz („BSIG“) genannten Fällen über eine Störung informieren. Das gilt schon dann, wenn erhebliche Störungen zu einem Ausfall oder einer Beeinträchtigung der Kritischen Infrastruktur führen können, also nur die Möglichkeit eines Ausfalls oder einer Beeinträchtigung besteht.
  
  
• Anbieter digitaler Dienste (insbesondere Online-Marktplätze, Online-Suchmaschine und Cloud-Computing-Dienste): Auch Anbieter digitaler Dienste können zur Meldung an das BSI verpflichtet sein, wenn ein Sicherheitsvorfall erhebliche Auswirkungen hat (§ 8c Abs. 3 BSIG). Zur Bestimmung der Erheblichkeit ist eine Durchführungsverordnung der EU-Kommission zu berücksichtigen.
  
  
• Unternehmen im besonderen öffentlichen Interessen: Auch im BSIG 2.0 erst vor Kurzem neu definierte Unternehmen im besonderen öffentlichen Interessen („UBI“) können zur Meldung an das BSI verpflichtet sein (§ 8f Abs. 7 und 8 BSIG). Zwar wurde noch keine Verordnung dazu erlassen, ab welcher genauen Schwelle Unternehmen zu den größten Unternehmen in Deutschland gehören (zur Definition der UBI insgesamt § 2 Abs. 14 BSIG). Jedoch enthält das Gesetz bereits drei verschiedene Kategorien von UBI, von denen zwei bereits definiert sind (vgl. die FAQ des BSI).
  
  
• Betreiber von öffentlichen Telekommunikationsnetzen und Erbringer öffentlich zugänglicher Telekommunikationsdienste: Schließlich sind auch diese Betreiber und Anbieter nach § 168 Telekommunikationsgesetz (n. F.) zu einer Meldung an die Bundesnetzagentur verpflichtet, wenn ein Sicherheitsvorfall beträchtliche Auswirkungen auf den Betrieb der Netze oder Erbringung der Dienste hat.

Weitere Informationen zum Umgang mit Cyberangriffen finden Sie auf der Seite des Noerr Cyber Risk Teams.