China bestraft den Entdecker der Log4shell-Sicherheitslücke

Die Schwachstelle in der Log4j-Bibliothek ist aktuell das Thema im IT-Security-Bereich. Entdeckt wurde das Problem von Chen Zhoujun, der in dem Security Team von Alibaba arbeitet.

Er schickte die Erkenntnisse seiner Analyse direkt an die Apache Foundation, was den chinesischen Behörden scheinbar sehr stört. So sehr, dass nun die Partnerschaft mit dem Konzern für 6 Monate gekündigt hat, wie aus einem Bericht der South China Morning Post aus Hongkong hervorgeht. Das entspricht einem befristeten Embargo, das sich negativ auf die Geschäftszahlen auswirken dürfte.

Man hätte es bevorzugt, dass der Alibaba-Sicherheitsforscher seine die Informationen an das für IT-Fragen zuständige Ministerium übermittelt. Dazu sind chinesische Unternehmen verpflichtet, wenn sie Sicherheitslücken in der eigenen Software verzeichnen. Wenn es um Fremd-Software geht, wie in diesem Fall, gibt es lediglich eine Empfehlung, dies zu tun.

Überwachungsmotive möglich

Vordergründig sammelt dieses Ministerium die Informationen, um Schutzmaßnahmen für die heimische Wirtschaft zu koordinieren. Die Datenbank ist aber für den Geheimdienst und andere staatliche Organisationen nützlich, die damit die Überwachung der Bürger*innen der Nation besser organisieren können.

Ohne die Informationen über Schwachstellen ist das Abhören verschlüsselter Datenverbindungen sowie der Einsatz von Spionage-Trojanern schwer möglich. Dementsprechend reagieren die Behörden auf das Vorgehen Alibabas. Die Log4shell-Lücke bietet sehr effiziente Möglichkeiten, Code in Computersystem einzuschleusen und auszuführen. Davon können nicht nur Hacker*innen Gebrauch machen.