Was passiert, wenn für den Staat die Überwachung der Bürger wichtiger ist als die IT-Sicherheit, zeigt sich aktuell in China. Der Internet-Konzern Alibaba wird dort aktuell abgestraft, weil er sich für die Behebung einer Schwachstelle engagierte.
Es geht hierbei um die als Log4shell bezeichnete Schwachstelle in der Log4j-Bibliothek, die aktuell die Schlagzeilen im Security-Bereich bestimmt. Entdeckt wurde das Problem von Chen Zhoujun, der bei Alibabas Cloud Security Team tätig ist. Dieser schickte die Erkenntnisse seiner Analyse direkt an die Apache Foundation, unter deren Dach die Java-Bibliothek entwickelt wird.
Wie aus einem Bericht der in Hongkong erscheinenden South China Morning Post hervorgeht, ist man in China nicht gerade erfreut über diesen Vorgang. Hier hätte man es viel lieber gesehen, wenn der Alibaba-Sicherheitsforscher seine Informationen an das für IT-Fragen zuständige Ministerium übermittelt hätte. Dazu sind chinesische Unternehmen verpflichtet, wenn sie Sicherheitslücken in der eigenen Software zu verzeichnen haben, wenn es um Fremd-Software geht, gibt es lediglich eine Empfehlung, diesen Weg zu gehen.
Sechs Monate auf die Strafbank
Vordergründig sammelt das Ministerium die Informationen, um Schutzmaßnahmen für die heimische Wirtschaft koordinieren zu können. Allerdings ist die Datenbank natürlich auch eine wichtige Quelle für den Geheimdienst und andere staatliche Organe, um die Überwachung der Bürger des Landes besser organisieren zu können. Denn ohne das Wissen über Schwachstellen ist die Platzierung von Spionage-Trojanern und das Abhören verschlüsselter Datenverbindungen kaum möglich.
Entsprechend harsch fällt auch die Reaktion auf das Vorgehen Alibabas aus - immerhin bietet die Log4shell-Lücke sehr gute Möglichkeiten, Code in Computersysteme einzuschleusen und auszuführen. Der Konzern wird nun für sechs Monate nicht mehr als Partner der chinesischen Behörden betrachtet. Das kommt einem befristeten Embargo gleich, das sich spürbar in den Geschäftszahlen zeigen dürfte.
Anmelden
Was passiert, wenn für den Staat die Überwachung der Bürger wichtiger ist als die IT-Sicherheit, zeigt sich aktuell in China. Der Internet-Konzern Alibaba wird dort aktuell abgestraft, weil er sich für die Behebung einer Schwachstelle engagierte.
Es geht hierbei um die als Log4shell bezeichnete Schwachstelle in der Log4j-Bibliothek, die aktuell die Schlagzeilen im Security-Bereich bestimmt. Entdeckt wurde das Problem von Chen Zhoujun, der bei Alibabas Cloud Security Team tätig ist. Dieser schickte die Erkenntnisse seiner Analyse direkt an die Apache Foundation, unter deren Dach die Java-Bibliothek entwickelt wird.