FTC mahnt zu Log4j-Updates – sonst drohen Klagen
Die US-Handelsaufsicht erinnert an die Pflicht zum Schutz von Verbraucherdaten. Sicherheitsprobleme wie bei Log4j nicht zu lösen, kann teuer werden.
Updaten, sonst kracht's. Die US-Handelsaufsicht FTC (Federal Trade Commission) droht Firmen mit Klagen, wenn sie bekannte Sicherheitsprobleme ignorieren, und das zur Preisgabe von Verbraucherdaten führt. Aktuell brennt Log4j vielen unter den Fingernägeln, weshalb die FTC dieses Problem als Beispiel nimmt: "Dieses Sicherheitsproblem wird von einer wachsenden Zahl Angreifer weitreichend ausgenutzt."
Die Klagedrohung gilt natürlich nicht nur für Log4j-Betroffene: "Die FTC beabsichtigt, die gesamte Bandbreite ihrer Zuständigkeit zur Verfolgung von Unternehmen zu nutzen, die in Zukunft keine verantwortungsvollen Schritte zum Schutz von Verbraucherdaten vor Preisgabe als Ergebnis von Log4j oder ähnlichen Sicherheitslücken setzen", schreibt die FTC in ihrem Blog.
"Wenn Sicherheitsprobleme entdeckt und ausgenutzt werden, kann das zu Verlust und Preisgabe personenbezogener Informationen, finanziellen Einbußen und anderen irreversiblen Schäden führen", erinnert die US-Behörde, "Um juristische Maßnahmen der FTC zu vermeiden, ist es entscheidend, dass Unternehmen und ihre Lieferanten, die sich auf Log4j verlassen, jetzt aktiv werden, um die Wahrscheinlichkeit von Verbraucherschäden zu reduzieren."
Abschreckender Fall Equifax
Als abschreckendes Beispiel dient der FTC der "Hacker-Jackpot" des Credit Bureau Equifax. Bei der Wirtschaftsauskunftei nutzten Unbefugte 2017 eine längst bekannte Sicherheitslücke einer Webanwendung und holten sich umfangreiche Daten über 148 Millionen Amerikaner und weitere Millionen Briten und Kanadier. Dabei wäre der Megahack bei Equifax absolut vermeidbar gewesen.
Durch eine fast komische Reihe an Fehlern und Unterlassungen hatte Equifax es den Tätern besonders leicht gemacht, maximale Beute zu machen. Das führte zu einem Rutsch des Börsenkurses, dem Rausschmiss des Firmenchefs und anderer hochrangiger Manager, sowie Schadenersatzklagen Geschädigter.
Lesen Sie auch
Kommentar zu Log4j: Es funktioniert wie spezifiziert
Und dann kamen die Klagen der FTC, des Consumer Financial Protection Bureau und aller 50 US-Staaten. Equifax kam mit einem Vergleich davon, der "nur" 700 Millionen US-Dollar schwer war. Diese Rute stellte die FTC allen Unternehmen mit Datenschätzen ins Fenster.
Jun Ying, damals Chief Information Officer Equifax', und ein Softwareentwickler der Firma, wurden nach dem Megahack bei Equifax sogar zu Hafstrafen verurteilt. Aber nicht, weil die IT-Sicherheit der Firma erbärmlich versagt hatte, sondern weil die Männer den Megahack bei Equifax durch Insiderhandel in Profit umgemünzt hatten. Auch das kann US-Aufsichtsbehörden sauer aufstoßen.
(ds)