Wem gilt die Warnung?
Alle Betreiber einer Website sind angehalten zu prüfen, ob die oft verwendeten Codes des JavaScript-Projekts polyfill.io in der eigenen Homepage eingebaut sind. Gegebenenfalls sich eine schriftliche Bestätigung vom Webmaster, der beauftragten Agentur oder des Programmierers der Webseite geben zu lassen, dass keine Codes von polyfill.io in der Homepage integriert sind oder entsprechende Sicherheitsmaßnahmen getroffen wurden.
Was steckt hinter der Warnung?
Hinter “Polyfill” verbirgt sich eine Sammlung an Code-Bibliotheken, die helfen sollen, die Unterschiede zwischen den Webbrowsern auszugleichen. Diese Bibliotheken stehen meist im Zusammenhang um Inkonsistenzen älterer Webbrowser auszugleichen, Geschwindigkeitsoptimierung und Verbesserung in der Bedienung der Website.
Die Domain polyfill.io wurde im Februar 2024 an das chinesische Unternehmen Funnull verkauft. Inzwischen wird über diese Domain bösartiger Code verbreitet. Am Ende bedeutet es, dass jede Website, die diese Code-Bibliothek bei sich eingebunden hat, den bösartigen Code mit verbreitet und so zum Mittäter wird.
Rechtliche Bedeutung
Abgesehen von möglichen Verstößen gegen die DSGVO (Datenschutzgrundverordnung), die meldepflichtig sind, kann der Betreiber einer Website für Schäden durch Verbreitung von Malware haftbar gemacht werden. Das kann sowohl zivilrechtliche Ansprüche auf Schadensersatz als auch strafrechtliche Konsequenzen umfassen.
Betreiber einer Website sind verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Website zu gewährleisten und die Verbreitung von Malware zu verhindern.
Daher ist es wichtig, regelmäßig Sicherheitsupdates durchzuführen und immer wieder die bestehenden Schutzmaßnahmen zu prüfen und gegebenenfalls auf die sich veränderten Umstände im Netz anzupassen, um rechtliche Konsequenzen zu vermeiden.
Links
- Website Security Check: https://www.experte.de/security-check
- Der Angriff auf die polyfill.io-Domäne: https://www.all-about-security.de/der-angriff-auf-die-polyfill-io-domaene/
- Polyfill.io-Angriff auf die Lieferkette – Ein Blick in das Netz der kompromittierten Domains: https://censys.com/de/july-2-polyfill-io-supply-chain-attack-digging-into-the-web-of-compromised-domains/